1.1 Wir freuen uns, dass Du unsere App DOTOG (Markenname „BlueBuddys") verwendest. Im Folgenden informieren wir Dich über den Umgang mit Deinen personenbezogenen Daten bei der Nutzung unserer App.
1.2 Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Frank Reuter, handelnd unter „Minntera"
Döhlener Hang 3
01705 Freital
Deutschland
Tel.: +49 173 1843424
E-Mail: mail@dotog.app
Umsatzsteuer-Identifikationsnummer: DE242649636
„DOTOG" und „BlueBuddys" sind Produktmarken der Minntera / Frank Reuter.
Hinweis zum Datenschutzbeauftragten: Wir haben keinen Datenschutzbeauftragten bestellt. Gemäß § 38 BDSG ist eine Bestellung nicht erforderlich (Solo-Unternehmer ohne Mitarbeitende, die Schwelle von 20 Personen mit automatisierter Datenverarbeitung wird nicht erreicht). Gemäß Art. 37 DSGVO ist eine Bestellung ebenfalls nicht erforderlich (keine Kerntätigkeit-Überwachung in großem Umfang, keine umfangreiche Verarbeitung besonderer Kategorien). Datenschutzfragen richtest Du an mail@dotog.app.
1.3 Die App nutzt SSL- bzw. TLS-Verschlüsselung. Sämtliche Verbindungen zur Firebase-Cloud (Anmeldung, Datenabfragen, KI-Chat) erfolgen ausschließlich über HTTPS.
1.4 Zielgruppe (Mixed Audience): DOTOG richtet sich an Familien, Wohngemeinschaften und Projekt-/Klassen-Gruppen. Die App wird von Erwachsenen sowie Kindern (ab 8 Jahren) genutzt. Wir behandeln Daten von Minderjährigen und Erwachsenen unterschiedlich:
Privacy by Design (Art. 25 DSGVO): Wir folgen den Grundsätzen Datenminimierung und Default-Privatheit. Profile sind privat (nur Gruppen-Mitglieder sehen sie). Tracking ist standardmäßig deaktiviert. Werbliche Push-Benachrichtigungen sind Opt-in (für Erwachsene) und für Kinder immer abgeschaltet. Funktionale Benachrichtigungen (z.B. Aufgaben- und Termin-Erinnerungen) sind als Teil der App-Funktion standardmäßig aktiv und jederzeit pro Kategorie abschaltbar.
Apple App Store: „Made for Kids: No", Productivity-Kategorie. Google Play: Mixed Audience, Mindestalter 8 Jahre.
Beim Download über einen App-Store werden Informationen an den App-Store übertragen (Nutzername, E-Mail, Account-Kundennummer, Download-Zeitpunkt, Zahlungsinformationen, Geräte-Kennziffer). Auf diese Datenerhebung haben wir keinen Einfluss.
Bei Nutzung der App erheben wir folgende technisch notwendigen Daten:
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse Stabilität + Funktionalität).
Wir erheben keine persistenten Geräte-Identifier. Insbesondere keine IMEI, IMSI, MSISDN, MAC-Adresse oder Werbe-Identifier (IDFA / AAID). Soweit Firebase App Check, Firebase Authentication oder Firebase Crashlytics nicht-personalisierbare Installations-Tokens verarbeiten, geschieht dies ausschließlich zur Sicherheit, Stabilität und Missbrauchsabwehr (Art. 6 Abs. 1 lit. f DSGVO).
Eine automatisierte Entscheidungsfindung mit Rechtswirkung im Sinne von Art. 22 DSGVO findet im Rahmen der Server-Log-Verarbeitung nicht statt.
Mit den als Auftragsverarbeiter tätigen Anbietern (Art. 28 DSGVO) wurden Auftragsverarbeitungsverträge (AVV) abgeschlossen. Apple und Google sind bei der Zahlungsabwicklung (In-App-Käufe und Abonnements) eigenständig Verantwortliche und keine Auftragsverarbeiter; sie übermitteln uns lediglich Transaktions- und Abo-Status-Daten (Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO). Übermittlungen in Drittländer (USA) stützen wir primär auf die EU-Standardvertragsklauseln (SCC 2021/914, Modul C2P) gemäß Art. 46 Abs. 2 lit. c DSGVO. Soweit ein Anbieter zusätzlich im aktiven EU-US Data Privacy Framework gelistet ist (Adäquanzbeschluss EU-Kommission 2023/1795), nennen wir das DPF als zusätzliche, sekundäre Grundlage. Hintergrund: Der DPF-Adäquanzbeschluss ist Gegenstand eines anhängigen EuGH-Verfahrens (Latombe, T-553/23); wir behandeln SCC daher als robuste Primärgrundlage, die auch im Fall eines DPF-Wegfalls trägt. Die Spalte „Drittlandstransfer-Grundlage" weist die jeweils einschlägige Grundlage pro Anbieter aus. Eine Kopie der EU-Standardvertragsklauseln können wir Dir auf Anfrage an mail@dotog.app zur Verfügung stellen.
Transfer-Impact-Assessment (TIA): Für alle US-Transfers haben wir gemäß EDPB Recommendations 01/2020 eine Transfer-Impact-Assessment durchgeführt. Zusätzliche Garantien zur Risiko-Minderung: Verschlüsselung at-rest und in-transit (TLS 1.3), Hash-only-Logging im KI-Chat (kein Klartext-Transfer von Eingaben), Zugriffsprotokolle, Datenminimierung (keine Klarnamen/Adressen in Drittlands-Pfaden außer wo zwingend für den Zweck erforderlich, Apple/Google-Plattform-Zahlung). Die TIA-Dokumentation liegt intern vor und kann Aufsichtsbehörden auf Anfrage vorgelegt werden.
| Anbieter | Zweck | Region | Drittlandstransfer-Grundlage |
|---|---|---|---|
| Google Ireland Ltd., Firebase Authentication | Login + E-Mail-Verifikation (Erwachsene) + Apple-Sign-In-Integration | EU, Failover USA | DPF + SCC 2021/914 |
| Google Ireland Ltd., Firebase Firestore | Speicherung Profil, Aufgaben, Termine, Belohnungen, Mitgliedschaften, Audit-Logs | europe-west3 (Frankfurt) | DPF + SCC |
| Google Ireland Ltd., Firebase Cloud Functions (User-Daten) | Backend-Logik (Anmeldung, Konto-Löschung, Datenexport, Abo-Verifikation) | europe-west3 (Frankfurt) | DPF + SCC |
| Google Ireland Ltd., Firebase Cloud Functions (Health) | Status-Health-Checks für Betreiber-Monitoring (kein User-PII) | europe-west1 (Belgien) | DPF + SCC |
| Google Ireland Ltd., Firebase Cloud Messaging (FCM) | Push-Benachrichtigungen (Werbe-Push nur Admins, nie an Kinder) | EU + USA | DPF + SCC |
| Google Ireland Ltd., Firebase Crashlytics | Anonymisierte Absturz-Berichte | EU + USA | DPF + SCC |
| Google Ireland Ltd., Firebase App Check | Sicherheitsprüfung (Apple App Attest + Play Integrity) | EU + USA | DPF + SCC |
| Google Ireland Ltd., Vertex AI Gemini 2.5 Flash | KI-Assistent „BuddyChat" (siehe Sektion 10) | europe-west4 (Niederlande) | EU-only, kein Drittlandstransfer |
| Apple Distribution International Ltd., Apple In-App-Purchase | iOS-Zahlungsabwicklung (Abo + VIP-Avatar) | EU + USA | Apple-Standardvertrag + DPF |
| Google Ireland Ltd., Google Play Billing | Android-Zahlungsabwicklung (Abo + VIP-Avatar) | EU + USA | DPF + SCC |
| RevenueCat Inc. | Abo- und Einmal-Kauf-Verwaltung | USA | DPA + SCC 2021/914 Modul C2P |
| Google Ireland Ltd., Firebase Cloud Storage | Datenexport-JSON-Hosting (signierte Download-URL, max. 7 Tage gültig) | europe-west3 (Frankfurt) | DPF + SCC |
| Hostinger International Ltd. | (1) Statisches Hosting der Rechtstexte unter dotog.app (Impressum/Datenschutz/AGB/Widerrufsbelehrung/Konto-Löschung). (2) E-Mail-Hosting mail@dotog.app + SMTP-Versand der Service-E-Mails (Konto-Löschung-Bestätigung, Datenexport-Link). | EU (Litauen, NL) | AVV Art. 28, EU-only, kein Drittlandstransfer |
Firebase Analytics: In V1 (Launch 15.06.2026) ist Firebase Analytics NICHT aktiviert. Sollten wir es in einer Folge-Version aktivieren, ergänzen wir diesen Eintrag und informieren bestehende Nutzer vorab.
Sentry und Telegram (Betreiber-Tools, kein Nutzer-Datenbezug): Sentry GmbH (Berlin / USA) und Telegram FZ-LLC werden ausschließlich als interne Betreiber-Werkzeuge eingesetzt, Sentry für Entwickler-Fehler-Diagnose der internen Build-Pipeline (verarbeitet keine personenbezogenen Daten der App-Nutzer; das Crash-Reporting der mobilen App erfolgt ausschließlich über Firebase Crashlytics, siehe Tabelle oben), Telegram für System-Health-Benachrichtigungen an den Betreiber persönlich (Frank Reuter; keine Übertragung von Nutzer-Daten). Da kein Auftragsverarbeitungs-Verhältnis im Sinne Art. 28 DSGVO bezüglich Nutzer-Daten besteht, führen wir Sentry und Telegram nicht in der Subprozessor-Tabelle. Sollte sich der Einsatz ändern (z. B. Sentry-SDK-Einbindung in der mobilen App), ergänzen wir diese Sektion und informieren bestehende Nutzer vorab.
Datenschutz-Hinweise: Firebase https://firebase.google.com/support/privacy · Apple https://www.apple.com/legal/privacy/de-ww/ · RevenueCat https://www.revenuecat.com/privacy/
Bei Kontaktaufnahme (per E-Mail an mail@dotog.app oder über die App) werden personenbezogene Daten erhoben und ausschließlich zur Beantwortung Deines Anliegens gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Bei Vertragsanbahnung zusätzlich Art. 6 Abs. 1 lit. b DSGVO.
Gemäß Art. 6 Abs. 1 lit. b DSGVO erheben wir bei Registrierung folgende Daten:
| Angabe | Pflicht? | Zweck |
|---|---|---|
| E-Mail-Adresse | Pflicht | Login + Account-Identifikation |
| Selbstgewähltes Passwort (nur als Hash gespeichert) | Pflicht | Authentifizierung |
| Geburtsdatum | Pflicht | Altersprüfung (Art. 8 DSGVO) |
| Volljährigkeits-Bestätigung (separate Checkbox „Ich bestätige, dass ich mindestens 18 Jahre alt bin") | Pflicht | DSGVO Art. 8 + Geschäftsfähigkeit gemäß §§ 104 ff. BGB |
| Display-Name / Spitzname | Pflicht | Anzeige in der Familien-Gruppe |
| Avatar-Auswahl | Pflicht | Personalisierung |
| Profil-Bild aus Auth-Provider | Optional | Bei Apple Sign-In wird die `photoUrl` aus dem Apple-Account übernommen, soweit Du Apple zustimmst |
| Streak-Zähler + Datum letzter Erledigung | System-intern | Motivations-Anzeige (Art. 6 Abs. 1 lit. f) |
| Cross-Group-Punktekonto | System-intern | Lebens-Summe Punkte über alle Gruppen (Art. 6 Abs. 1 lit. f) |
E-Mail-Bestätigung: Nach der Registrierung Bestätigungs-E-Mail (Firebase Authentication Standard). Erst nach Klick auf Link gilt E-Mail als verifiziert.
Eine automatisierte Entscheidungsfindung mit Rechtswirkung im Sinne von Art. 22 DSGVO findet bei der Account-Eröffnung nicht statt.
Eine Löschung des Kundenkontos ist jederzeit möglich:
Wir folgen einem 14+16-Tage-Hybrid-Löschverfahren (DSGVO Art. 17 + Apple App Store / Google Play Store Pflicht):
Aufbewahrungsfristen gehen vor: Rechnungs- und Abo-Belege werden gemäß § 257 HGB / § 147 AO 10 Jahre lang gespeichert; Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung). Diese Daten werden gesperrt und nach Ablauf der Frist automatisch gelöscht.
Audit-Protokoll Löschvorgänge (Art. 5 Abs. 2 Rechenschaftspflicht): Wir protokollieren Konto-Löschungen und Wiederherstellungen in einer internen audit_logs-Collection (Felder: action, userUid, emailHash (SHA-256 statt Klartext-E-Mail), timestamp). Speicherdauer: 30 Tage, danach automatisches Löschen via Cloud Scheduler. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 5 Abs. 2.
Wiederherstellungs-Tokens: Die für die Konto-Wiederherstellung (Reue-Frist Tag 2-14) erzeugten kryptographischen Einmal-Tokens werden 15 Minuten als Hash in einer separaten cancel_tokens-Collection vorgehalten (single-use, server-gespeichert nur als SHA-256-Hash, der Klartext-Token liegt ausschließlich in der an Dich versendeten E-Mail). Nach Ablauf oder Verwendung werden die Hashes nach 7 Tagen vollständig gelöscht. Rate-Limit pro E-Mail-Adresse: maximal 3 Anforderungen je 15 Minuten (Brute-Force-Schutz, Art. 32 DSGVO).
Wichtig für Eltern und Erziehungsberechtigte: Diese Sektion erklärt, wie Kinder DOTOG nutzen, welche Daten wir von Kindern erheben und wie wir Deine Einwilligung als Sorgeberechtigte/r einholen.
Wie wir Kinder schützen und wie Du Missbrauch melden kannst, beschreiben unsere veröffentlichten Standards zur Kindersicherheit.
Hinweis zur Altersgrenze gemäß Art. 8 DSGVO: In Deutschland, Österreich und der Schweiz gilt 16 Jahre als Einwilligungs-Schwelle. Wir holen daher die Sorgeberechtigten-Einwilligung für alle Minderjährigen unter 18 Jahren ein, strenger als gesetzlich vorgeschrieben, um auch Teens zwischen 16-17 zusätzlich zu schützen.
Mindestalter: 8 Jahre (konsistent zu Apple Age Rating und Google Target Audience). Ein Kind kann nicht selbst einen DOTOG-Account erstellen. Der Weg ist:
Die Erzeugung des Kind-Codes durch den Admin ist die Sorgeberechtigten-Einwilligung im Sinne Art. 8 Abs. 1 + 2 DSGVO. Hintergrund:
Diese Methode entspricht der DSGVO-Anforderung an angemessene Anstrengungen unter Berücksichtigung der verfügbaren Technik (Art. 8 Abs. 2 DSGVO, sinngemäß). Sie ist für den europäischen Markt geeignet. Für einen späteren US-Marktstart (V1.1) ergänzen wir COPPA-konforme Verfahren wie FTC Method 4 (einmaliger Bezahlvorgang als Erwachsenen-Verifikation).
Hinweis zur Verifikations-Methode: In V1 ist nur der oben beschriebene inviteCode2-Mechanismus aktiv. Eine alternative Verifikation über einmaligen Bezahlvorgang (FTC Method 4) ist im App-Code als Backup für den US-Markt vorhanden, wird aber im DACH-Markt nicht eingesetzt.
| Angabe | Pflicht? | Zweck |
|---|---|---|
| Spitzname (frei wählbar) | Pflicht | Anzeige in der Familien-Gruppe |
| Avatar-Auswahl | Pflicht | Personalisierung |
| Geburtsdatum | Pflicht | Altersprüfung + Mindestalter-Verifikation |
| Familien-Gruppen-Mitgliedschaft | System-intern | Berechtigung in der Gruppe |
| Aufgaben + Erledigungs-Status | System-intern | Kern-Funktionalität |
| Punktestände + Streak-Zähler | System-intern | Motivations-Mechanik |
| Eingelöste Belohnungen | System-intern | Reward-Verwaltung |
| KI-Chat-Eingaben (sehr eingeschränkt) | Optional (deaktivierbar durch Admin) | siehe Sektion 10 |
Wir erheben vom Kind nicht: E-Mail-Adresse, Telefonnummer, Standort, Kontaktdaten, Klarnamen, Adresse.
Rechtsgrundlage für die Verarbeitung der Kind-Daten: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) bzw. lit. f DSGVO (Motivations-Mechanik und anonymisierte Statistik), jeweils in Verbindung mit Art. 8 DSGVO (Einwilligung des sorgeberechtigten Admins, siehe Sektion 6.2).
Der Admin sieht in der App alle Aktivitäten seines Kindes:
Der Admin sieht nicht:
Diese Trennung respektiert die Privatsphäre des Kindes bei direkter KI-Kommunikation, wahrt aber gleichzeitig die elterliche Aufsichtspflicht über die App-Aktivitäten. Sollte der Admin den Eindruck haben, dass ein Kind den KI-Chat unangemessen nutzt, kann er den Chat für das Kind komplett deaktivieren (siehe Sektion 10.4) oder den Kind-Account kündigen.
Hinweis Apple App Review 5.1.4: Diese Sicht-Trennung respektiert die Privatsphäre des Kindes (BVerfG-Rechtsprechung zum Persönlichkeitsrecht von Minderjährigen) und bietet zugleich vollständige Parental Controls (Komplett-Deaktivierung des KI-Chats, Konto-Kündigung, Statistik-Sicht). Eltern haben damit aktive Aufsichtsfähigkeit ohne Zugang zum Wortlaut der Kind-Eingaben.
Kinder-Accounts erhalten keine Werbe-Push-Benachrichtigungen. Push-Benachrichtigungen an Kinder beschränken sich auf rein funktionale Anlässe (anstehende Aufgabe, erreichter Streak, eingelöste Belohnung). Werbung und Hinweise auf neue App-Features gehen ausschließlich an Admin-Accounts.
Die Einwilligung in funktionale Push-Benachrichtigungen für ein Kind-Konto wird nicht vom Kind selbst, sondern ausschließlich vom verwaltenden Admin (Sorgeberechtigten) gesetzt und kann von diesem jederzeit widerrufen werden.
Kinder können keine realen Zahlungen auslösen. Abo-Abschlüsse, VIP-Avatar-Käufe und alle anderen Geld-Transaktionen sind ausschließlich in Admin-Accounts möglich.
Als sorgeberechtigte Person hast Du das Recht:
DOTOG wird als digitales Software-Abo angeboten. Es gibt eine kostenlose Basis-Stufe und drei kostenpflichtige Abo-Stufen (in der App zusätzlich mit den Namen Familie/WG/Projekt gekennzeichnet):
Abrechnung je nach Stufe monatlich oder jährlich nach Wahl. Die jeweils gültigen Preise werden Dir vor dem Kauf im App-Store bzw. in der App angezeigt.
Bei Abo-Abschluss werden Zahlungsdaten ausschließlich vom Plattform-Anbieter verarbeitet:
Wir erhalten keine Kreditkartendaten, keine Bankverbindungen. Wir erhalten nur:
Diese Daten kommen über unseren Subprozessor RevenueCat Inc. (USA) auf Grundlage SCC 2021/914 Modul C2P und werden in Firestore (europe-west3) Deinem Account zugeordnet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Nur Erwachsene Admin-Accounts können Abos abschließen. Kinder-Accounts haben keinen Kauf-Zugang.
Kündigung erfolgt direkt im jeweiligen App-Store (Apple ID-Einstellungen / Google Play-Abos), in V1 ist kein direkter Vertragsschluss mit uns (Frank Reuter, handelnd unter „Minntera") über die App möglich, da Apple/Google die Vertragspartner sind. Der Kündigungs-Button gemäß § 312k BGB ist daher in V1 nicht einschlägig. Sobald Stripe (Web-Abo direkt mit uns) in V1.1 aktiv ist, wird ein § 312k-konformer Kündigungs-Button in App und auf dotog.app bereitgestellt.
Du kannst zusätzlich VIP-Avatare („BonusBuddys") kaufen, besondere Avatar-Bilder mit speziellem Look. Einmaliger In-App-Kauf:
Alternativ schaltest Du ausgewählte VIP-Avatare automatisch frei, wenn Du eine Tages-Streak von ≥ 50 Tagen erreichst. Spielmechanismus innerhalb der App, ohne externe Datenübermittlung.
VIP-Avatar-Kauf nur durch Admin-Accounts möglich. Kinder-Accounts können keine Käufe auslösen.
Du kannst in unserer App Folgendes erstellen:
Diese Inhalte sind ausschließlich Mitgliedern Deiner Gruppe sichtbar. Keine öffentlichen Bereiche, keine Foren, keine externe Sichtbarkeit, keine Verlinkung mit Social-Media.
Beim Konto-Löschen werden alle erstellten Inhalte unwiderruflich entfernt, Ausnahme: Aufgaben und Belohnungen, die ein anderes Familienmitglied erledigt oder eingelöst hat, bleiben in anonymisierter Form Teil der Gruppen-Statistik (ohne Bezug zu Deinem Profil).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + Art. 6 Abs. 1 lit. f DSGVO (anonymisierte Statistik).
Unsere App enthält einen KI-Assistenten („BuddyChat"), der Familien bei der Aufgaben-Organisation unterstützt.
10.1 Anbieter: Google Cloud Vertex AI mit Sprachmodell Gemini 2.5 Flash. Verarbeitung ausschließlich in EU-Region europe-west4 (Niederlande). Cloud Function läuft in europe-west3 (Frankfurt). Kein Drittlandstransfer in USA.
10.2 Welche Daten werden verarbeitet: Frage-Eingabe, Rolle (Admin / Mitglied / Kind), Abo-Status. Keine Klarnamen, keine E-Mail-Adressen, keine Standort-Daten.
10.3 Themen-Beschränkung: BuddyChat antwortet nur zu vorgegebenen Themen rund um Familien-Aufgaben-Organisation, Motivation, Belohnungen. Eingaben außerhalb dieser Themen-Whitelist werden vom System nicht beantwortet (Themen-Filter im System-Prompt + Safety-Settings BLOCK_LOW). Sicherheitsrelevante Themen (Selbstgefährdung, Gewalt, sexueller Inhalt) zusätzlich blockiert.
10.4 KI-Chat und Kinder: Kinder ab 8 Jahren dürfen BuddyChat eingeschränkt nutzen:
10.5 Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im aktiven Abo) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung Free/Trial; bei Kindern Einwilligung Sorgeberechtigter Art. 8 DSGVO).
10.6 Speicherdauer: Wir speichern anonymisiertes Audit-Protokoll (SHA-256-Hash der Anfrage, ohne Klartext) für 30 Tage. Danach automatische Löschung. Kein Modell-Training auf Deinen Daten (Google Cloud Standard-Vertrag für Vertex AI).
10.7 Deine Rechte: BuddyChat jederzeit unter Verwaltung > Einwilligungen deaktivierbar. Anliegen oder Korrekturwünsche kannst Du jederzeit an mail@dotog.app richten.
Die App verwendet ausschließlich lokal gebündelte Schriftarten. Keine Verbindung zu externen Schrift-Servern. Keine IP-Adressen für Schrift-Darstellung an Drittanbieter übermittelt.
Cookies: Die DOTOG-App verwendet keine Cookies, da sie eine native iOS-/Android-App ohne Web-Komponenten ist. Eine Einwilligung gemäß § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals TTDSG) ist daher nicht erforderlich.
DOTOG greift nicht auf Dein Adressbuch oder Deine Kontaktliste zu. Wir lesen keine Telefonnummern, E-Mail-Adressen oder andere Kontaktdaten aus Deinem Smartphone.
Einladungen zu einer Familien-Gruppe erfolgen ausschließlich über:
Wir senden Push-Benachrichtigungen über Firebase Cloud Messaging (FCM). Wir unterscheiden zwei Arten:
a) Funktionale Benachrichtigungen, sie gehören zur Kernfunktion der App und sind für neue Nutzer standardmäßig aktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) bzw. lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der App); der technische Zugriff auf das Endgerät ist nach § 25 Abs. 2 Nr. 2 TDDDG zulässig, da für den von Dir gewünschten Dienst erforderlich. Du kannst jede Kategorie jederzeit unter Verwaltung → Benachrichtigungen oder in den System-Einstellungen Deines Geräts ausschalten:
b) Angebote / Hinweise (werblich), z.B. Hinweise auf VIP-Inhalte oder neue Funktionen. Diese sind standardmäßig ausgeschaltet und werden ausschließlich mit Deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG, § 7 UWG) gesendet. Du aktivierst sie freiwillig unter Verwaltung → Benachrichtigungen. Werbliche Benachrichtigungen gehen nie an Kinder-Konten.
Verarbeitete Daten: Zur Zustellung speichern wir ein gerätebezogenes Push-Token (FCM-Token, ein von Google/FCM vergebener pseudonymer Geräte-Identifier) sowie den Gerätetyp und den Erstellungszeitpunkt. Speicherort ist Firebase Firestore (users/<Nutzer-ID>/fcm_tokens, Region europe-west3 / Frankfurt). Das Token dient ausschließlich der Zustellung; ungültige oder abgemeldete Token werden automatisch gelöscht.
Ruhezeit: Ereignis-Benachrichtigungen werden zwischen 20:00 und 07:00 Uhr (Europe/Berlin) zurückgehalten und erst danach zugestellt. Zeitkritische, von Dir selbst gesetzte Termin-Erinnerungen werden zum von Dir gewählten Zeitpunkt zugestellt.
Drittlandtransfer: Die technische Auslieferung über Firebase Cloud Messaging kann über Google-Server in der EU und den USA erfolgen (Absicherung über EU-US Data Privacy Framework und Standardvertragsklauseln 2021/914, siehe Sektion 3).
Widerruf / Widerspruch: Du kannst jede Kategorie jederzeit unter Verwaltung → Benachrichtigungen oder in den System-Einstellungen Deines Geräts wieder ausschalten. Die Wirkung tritt sofort ein; künftige Benachrichtigungen dieser Kategorie unterbleiben. Bei funktionalen Benachrichtigungen ist dies Dein Widerspruchsrecht nach Art. 21 DSGVO, bei werblichen der jederzeitige Widerruf der Einwilligung nach Art. 7 Abs. 3 DSGVO.
Kinder-Accounts (Art. 8 DSGVO): Ein Kind-Konto kann die Push-Einwilligung nicht selbst erteilen. Sie wird ausschließlich vom sorgeberechtigten Admin verwaltet (siehe Sektion 6.5). Werbe- oder Feature-Hinweise gehen nie an Kinder, sondern nur an Admin-Accounts.
Das geltende Datenschutzrecht gewährt Dir umfassende Betroffenenrechte. Du kannst diese über mail@dotog.app oder über App-Funktionen ausüben. Wir beantworten Anfragen innerhalb eines Monats nach Eingang gemäß Art. 12 Abs. 3 DSGVO. Bei besonders komplexen oder zahlreichen Anfragen kann sich die Frist um zwei weitere Monate verlängern; wir informieren Dich innerhalb des ersten Monats.
Spezial: Eltern-Rechte für Kinder-Accounts, siehe Sektion 6.7.
Widerspruchsrecht (Art. 21 DSGVO): Bei Verarbeitung auf Basis berechtigten Interesses kannst Du jederzeit Widerspruch einlegen. Bei Direktwerbung jederzeitiges Widerspruchsrecht ohne weitere Begründung.
| Datenkategorie | Speicherdauer | Löschung |
|---|---|---|
| Account-Daten Erwachsene (E-Mail, Passwort-Hash, UID) | Solange Account aktiv | 14 Tage gesperrt + 16 Tage Backup = 30 Tage total |
| Account-Daten Kinder (Spitzname, UID, Avatar) | Solange Konto aktiv | 14 Tage gesperrt + 16 Tage Backup = 30 Tage total durch Admin |
| Profil-Daten (Avatar, Name, Geburtsdatum) | Solange Account aktiv | 14 Tage gesperrt + 16 Tage Backup = 30 Tage total |
| Aufgaben- und Termin-Inhalte | Solange Account aktiv | Mit Konto-Löschung anonymisiert (Sektion 9) |
| Belohnungs-Inhalte | Solange Account aktiv | Mit Konto-Löschung anonymisiert |
| Streak-Zähler und Erledigungs-Datum | Solange Account aktiv | 14 Tage gesperrt + 16 Tage Backup = 30 Tage total |
| Cross-Group-Punkte | Solange Account aktiv | 14 Tage gesperrt + 16 Tage Backup = 30 Tage total |
| Audit-Logs KI-Chat (SHA-256-Hash) | 30 Tage | Automatisch (Cron-CF) |
| Bestätigung Sicherheitshinweis KI-Chat | Solange Account aktiv | 14 Tage gesperrt + 16 Tage Backup = 30 Tage total |
| Audit-Logs (Berechtigungs-Änderungen, Lösch-Aktionen) | 30 Tage | Automatisch (Cron-CF) |
| Sorgeberechtigten-Einwilligungs-Audit (Art. 8 ACK) | 10 Jahre (Beweisbarkeit Art. 7 Abs. 1 DSGVO) | Manuell nach Frist |
| vpcConsents-Collection (US-Backup, derzeit inaktiv) | Solange aktive Verwendung; sonst nicht produktiv | n/a in V1, bei US-Aktivierung 10 Jahre |
| Crash-Reports (Crashlytics) | 90 Tage | Automatisch |
| Push-Token (FCM) | Solange Push-Benachrichtigungen aktiviert | Bei Opt-out sofort |
| Abo-Transaktions-IDs | 10 Jahre (§ 257 HGB / § 147 AO; Art. 6 Abs. 1 lit. c DSGVO) | Automatisch nach Frist |
| VIP-Avatar-Einmal-Kauf-Receipts | 10 Jahre (§ 257 HGB) | Automatisch nach Frist |
| Server-Logfiles (IP anonymisiert, Timestamp) | 7 Tage | Automatisch |
| Empfehlungs-Programm: Code + Zuordnung Werber↔Eingeladener + Einlöse-Zeitpunkt (Sektion 18) | Solange zur Programm-Durchführung & Missbrauchsabwehr erforderlich | Mit Konto-Löschung bzw. Programm-Ende |
| Empfehlungs-Prämie (Plus-Ablaufdatum, „Belohnung gewährt"-Flag) | Solange Account aktiv | 14 Tage gesperrt + 16 Tage Backup = 30 Tage total |
| Empfehlungs-Missbrauchs-Limit (SHA-256-Code-Zähler) | 15 Minuten (Rate-Limit-Fenster) | Automatisch |
Bei Verarbeitung auf Grundlage einer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) werden Daten gespeichert, bis Du Deine Einwilligung widerrufst.
Sollte es zu einem Datenschutz-Vorfall kommen, der zu einem Risiko für die Rechte und Freiheiten von Betroffenen führen kann:
Wir setzen folgende technische und organisatorische Maßnahmen ein, um Deine Daten zu schützen:
Nutzer mit einem regulären Erwachsenen-Konto (kein Kinder- oder anonymes Konto) können über einen persönlichen Empfehlungslink Freunde einladen. Richtet eine eingeladene Person über den Link ein eigenes, reguläres Konto ein und schließt die Ersteinrichtung (Onboarding) ab, erhält der Werber als Dankeschön 1 Monat DOTOG Plus gratis.
Verarbeitete Daten: Dein persönlicher Empfehlungscode, die Konto-Kennungen (Nutzer-IDs) von Werber und eingeladener Person, der Zeitpunkt der Einlösung sowie Status-Merkmale (z.B. „Belohnung bereits gewährt"). Wird die App über einen Empfehlungslink aus dem Google Play Store installiert, lesen wir aus dem von Google bereitgestellten Install-Referrer ausschließlich den Empfehlungscode aus. Es findet kein darüber hinausgehendes Werbe-Tracking, kein Geräte-Fingerprinting und keine Weitergabe an Dritte statt.
Zwecke: (1) Zuordnung der Empfehlung und korrekte Gewährung der Prämie; (2) Schutz vor Missbrauch (Mehrfach-/Selbst-Einlösungen, automatisierte Versuche).
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Durchführung der von Dir aktiv gewählten Empfehlungs-Funktion) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweite und an der Verhinderung von Missbrauch).
Kinder: Kinder- und anonyme Konten sind vom Empfehlungs-Programm vollständig ausgeschlossen, sie sehen weder den Einladen-Aufruf, noch können sie eine Prämie erhalten oder auslösen (server-seitig erzwungen). Für sie werden im Rahmen dieser Funktion keine Daten verarbeitet (Schutz nach Art. 8 DSGVO sowie § 3 Abs. 3 i.V.m. Anhang Nr. 28 UWG).
Empfänger / Speicherort: Verarbeitung ausschließlich in unserer Firebase-Infrastruktur in der EU (Region europe-west3 / Frankfurt). Im Rahmen dieser Funktion findet keine Übermittlung in Drittländer statt.
Speicherdauer: Zuordnungs- und Prämien-Nachweise speichern wir, solange dies zur Durchführung des Programms und zur Missbrauchsabwehr erforderlich ist; technische Missbrauchs-Begrenzungs-Zähler werden automatisch nach kurzer Zeit gelöscht (siehe Übersicht in Sektion 15).
Teilnahmebedingungen: Die vollständigen Bedingungen findest Du unter dotog.app/empfehlung-teilnahmebedingungen.html.
Deine Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Beschwerde) gelten unverändert, siehe Sektion 14.