Datenschutzrichtlinie

1. Einleitung

Willkommen bei Where The Bleep („W.T.B“), einem Produkt von Ideaduct LLC („wir“, „unser“ oder „uns“). Wir verpflichten uns, Ihre Privatsphäre zu schützen und transparent mit Ihren Daten umzugehen. Diese Datenschutzrichtlinie erläutert unsere Praktiken hinsichtlich der Erhebung, Nutzung, Speicherung und Weitergabe von Daten für unsere mobile Anwendung („die App“).

Where The Bleep ist eine Anwendung zur Verfolgung persönlicher Gegenstände, die mit einer datenschutz- und offline-orientierten Architektur entwickelt wurde. Ihre Gegenstandsdaten werden standardmäßig lokal auf Ihrem Gerät gespeichert. Wenn Sie die optionale Cloud-Synchronisierung aktivieren, werden alle Daten durch Zero-Knowledge-Ende-zu-Ende-Verschlüsselung geschützt. Wir können Ihre synchronisierten Daten zu keinem Zeitpunkt lesen, darauf zugreifen oder entschlüsseln.

Durch die Nutzung der App stimmen Sie den in dieser Datenschutzrichtlinie beschriebenen Praktiken zu. Wenn Sie nicht einverstanden sind, nutzen Sie die App bitte nicht. Wir empfehlen Ihnen, diese Richtlinie vollständig zu lesen und uns bei Fragen unter privacy@wherethebleep.app zu kontaktieren.

2. Unsere Datenschutzprinzipien

Where The Bleep basiert auf den folgenden grundlegenden Datenschutzprinzipien:

• Offline-first: Ihre Daten befinden sich auf Ihrem Gerät in einer lokalen SQLite-Datenbank. Die App funktioniert vollständig ohne Internetverbindung.
• Zero-Knowledge-Verschlüsselung: Wenn Sie die Cloud-Synchronisierung aktivieren, werden alle Daten auf Ihrem Gerät verschlüsselt, bevor sie es verlassen. Wir besitzen zu keinem Zeitpunkt die Schlüssel zur Entschlüsselung Ihrer Daten.
• Keine Analyse oder Tracking: Wir integrieren keine Analyse-SDKs, Tracking-Pixel, Telemetrie oder Werbe-Frameworks in die App. Wir verfolgen Ihr Nutzungsverhalten nicht.
• Keine Datenmonetarisierung: Wir verkaufen, vermieten, lizenzieren oder handeln Ihre persönlichen Daten aus keinem Grund an Dritte.
• Benutzerkontrolle: Sie können alle Ihre Daten jederzeit exportieren, löschen oder vernichten. Die Kontolöschung ist umfassend und unwiderruflich.

3. Informationen, die wir erfassen

Die einzige persönliche Information, die wir auf unseren Servern speichern, ist Ihre E-Mail-Adresse, die ausschließlich zur Authentifizierung verwendet wird, wenn Sie die Cloud-Synchronisierung aktivieren. Alles andere — Ihre Gegenstände, Fotos und Standorte — verbleibt standardmäßig auf Ihrem Gerät. Wenn Sie die Cloud-Synchronisierung aktivieren, werden alle Daten Ende-zu-Ende verschlüsselt, bevor sie Ihr Gerät verlassen. Die folgenden Abschnitte beschreiben genau, welche Daten betroffen sind.

3.1 Informationen, die Sie direkt bereitstellen

Alle folgenden Daten werden standardmäßig lokal auf Ihrem Gerät gespeichert:

• Gegenstandsdaten: Namen, Beschreibungen, Kaufpreise, Seriennummern und alle weiteren Details, die Sie zu den von Ihnen verfolgten Gegenständen eingeben.
• Fotos: Bilder, die Sie mit Ihrer Kamera aufnehmen oder aus Ihrer Fotobibliothek auswählen, um Gegenstände zu identifizieren und zu katalogisieren.
• Standortdaten: Namen, Beschreibungen und hierarchische Strukturen von Aufbewahrungsorten, die Sie innerhalb der App erstellen (wie Räume, Regale, Schubladen und Boxen). Dies bezieht sich auf von Ihnen definierte organisatorische Standorte, nicht auf GPS- oder Geolokalisierungsdaten.
• Personendaten: Namen von Personen, die Sie als Entleiher bei der Verfolgung von Ausleihen und Rückgaben erfassen.
• Spracheingabe: Audio aus der Sprachsuche, das auf Ihrem Gerät mithilfe des plattformeigenen Spracherkennungsdienstes verarbeitet wird. Wir zeichnen Ihre Sprachdaten weder auf, noch speichern oder übertragen wir sie.

3.2 Kontoinformationen (Optional)

Wenn Sie ein Konto zur Aktivierung der Cloud-Synchronisierung erstellen, erheben wir:

• E-Mail-Adresse: Wird ausschließlich zur Authentifizierung bei unserem Cloud-Synchronisierungsdienst (Supabase) verwendet. Ihre E-Mail-Adresse ist die einzige personenbezogene Information, die auf unseren Servern gespeichert wird.
• Authentifizierungsdaten: Ihr Passwort wird von Supabase mit bcrypt gehasht und niemals im Klartext gespeichert. Wir haben keinen Zugriff auf Ihr Passwort.

3.3 Abonnementinformationen

Wenn Sie Where The Bleep Pro abonnieren, werden die folgenden Informationen von RevenueCat, unserem Abonnementverwaltungsanbieter, verarbeitet:

• Kaufbelege: Transaktionskennungen vom Apple App Store oder Google Play Store.
• Abonnementdetails: Plantyp (monatlich oder jährlich), Ablaufdatum und Verlängerungsstatus.
• Anonyme Benutzerkennung: Eine zufällig generierte Kennung, die zur Zuordnung Ihres Abonnements zu Ihrem Konto verwendet wird und nicht mit persönlichen Informationen verknüpft ist.

Wir erheben oder speichern keine Zahlungskartendaten, Rechnungsadressen oder sonstigen Finanzinformationen. Die gesamte Zahlungsabwicklung wird vollständig von Apple oder Google über ihre jeweiligen App Stores abgewickelt.

3.4 Informationen, die wir NICHT erfassen

Wir möchten ausdrücklich klarstellen, was wir nicht erfassen:

• GPS- oder Geolokalisierungsdaten
• Gerätebezogene Werbekennungen (IDFA/GAID)
• Browserverlauf oder Webaktivität
• Kontakte, Anrufprotokolle oder SMS-Nachrichten
• Nutzungsanalysen oder Verhaltensdaten
• Telemetrie jeglicher Art
• IP-Adressenprotokollierung (über das hinaus, was bei Netzwerkanfragen inhärent verarbeitet wird)

3.5 Absturz- und Stabilitätsdaten

Wir verwenden Google Firebase Crashlytics, um automatisch Absturzberichte zu erfassen, wenn die App auf einen Fehler stößt. Dies hilft uns, Probleme zu identifizieren und zu beheben, um die App-Stabilität zu verbessern. Crashlytics kann Folgendes erfassen:

• Absturz-Stack-Traces und Ausnahmeinformationen
• Gerätemodell, Betriebssystemversion und Bildschirmausrichtung
• Verfügbarer Arbeitsspeicher und Speicherplatz zum Zeitpunkt des Absturzes
• Eine Crashlytics-Installations-UUID zur Identifizierung eindeutiger Absturzinstanzen (dies ist keine Werbekennung)
• App-Version und Build-Nummer

Crashlytics erfasst nicht die Inhalte Ihrer Einträge, Fotos, personenbezogenen Daten oder verschlüsselten Daten. Absturzberichte werden an die Firebase-Infrastruktur von Google gesendet und ausschließlich zur Absturzanalyse und Verbesserung der App-Stabilität verwendet.

4. Wie wir Ihre Informationen verwenden

Wir verwenden die oben beschriebenen Informationen für die folgenden Zwecke:

• Kernfunktionalität: Damit Sie Ihre persönlichen Gegenstände in der App katalogisieren, organisieren, durchsuchen und verfolgen können.
• Cloud-Synchronisierung (optional): Um Ihre verschlüsselten Daten geräteübergreifend zu synchronisieren, wenn Sie ein Konto erstellen und die Synchronisierung aktivieren.
• Authentifizierung: Um Ihre Identität zu verifizieren, wenn Sie sich bei Ihrem Konto anmelden.
• Abonnementverwaltung: Um Ihren Abonnementstatus zu überprüfen und Pro-Funktionen freizuschalten.
• Datenexport: Um auf Ihre Anfrage hin CSV-, JSON- oder PDF-Versicherungsberichtsexporte zu erstellen.
• Verschlüsselte Backups: Um auf Ihre Anfrage hin verschlüsselte Sicherungsarchive Ihrer Daten zu erstellen.
• Kundensupport: Um auf Ihre Anfragen zu antworten, wenn Sie uns kontaktieren.
• Absturzberichte: Zur Identifizierung, Diagnose und Behebung von Abstürzen und Stabilitätsproblemen mithilfe von Google Firebase Crashlytics.

Wir verwenden Ihre Informationen nicht für Werbung, Profilerstellung, automatisierte Entscheidungsfindung oder andere als die oben aufgeführten Zwecke.

5. Datenspeicherung und Sicherheit

5.1 Lokale Speicherung

Standardmäßig werden alle Ihre Gegenstandsdaten, Fotos, Standorte und Personendaten ausschließlich in einer lokalen SQLite-Datenbank auf Ihrem Gerät gespeichert. Diese Daten verlassen Ihr Gerät nur, wenn Sie ausdrücklich die Cloud-Synchronisierung aktivieren oder optionale KI-Funktionen nutzen.

5.2 Cloud-Synchronisierung und Zero-Knowledge-Verschlüsselung

Wenn Sie sich für die Aktivierung der Cloud-Synchronisierung entscheiden, werden Ihre Daten durch Zero-Knowledge-Ende-zu-Ende-Verschlüsselung (E2EE) geschützt. Das bedeutet, dass Ihre Daten auf Ihrem Gerät verschlüsselt werden, bevor sie übertragen werden, und weder wir noch unsere Infrastrukturanbieter sie entschlüsseln können. Unsere Verschlüsselungsarchitektur umfasst:

• Verschlüsselungsalgorithmus: XChaCha20-Poly1305 authentifizierte Verschlüsselung, ein moderner und weithin anerkannter kryptografischer Standard.
• Schlüsselableitung: PBKDF2-HMAC-SHA256 mit 800.000 Iterationen und einem zufälligen 32-Byte-Salt, konzipiert zum Schutz gegen Brute-Force- und hardwarebeschleunigte Angriffe.
• Unterschlüsselableitung: HKDF-SHA256 wird verwendet, um separate Unterschlüssel für verschiedene Verschlüsselungskontexte abzuleiten, wodurch eine kryptografische Isolierung zwischen Datentypen gewährleistet wird.
• Wiederherstellungsphrase: Eine BIP39-standardkonforme mnemonische Phrase mit 24 Wörtern wird als Ihr Hauptschlüssel generiert. Diese Phrase ist das einzige Mittel zur Wiederherstellung Ihrer Verschlüsselungsschlüssel. Wir speichern sie nicht, und wenn Sie sie verlieren, können Ihre verschlüsselten Daten nicht wiederhergestellt werden.
• Biometrische Entsperrung: Optional können Sie Face ID oder Touch ID aktivieren, um Ihre Verschlüsselungsschlüssel zu entsperren. Die biometrischen Daten selbst werden vollständig von der sicheren Enklave Ihres Geräts verarbeitet und sind weder für die App zugänglich noch werden sie übertragen.
• Verschlüsselte Felder: Einzelne Datenbankspalten (wie Name, Beschreibung und andere Felder) werden separat verschlüsselt. Der Server speichert und sieht nur verschlüsselte Blobs in Base64-Kodierung.
• Chiffretext-Format: Jeder verschlüsselte Wert besteht aus einem 24-Byte-Nonce, dem Chiffretext und einem 16-Byte-Authentifizierungs-Tag (MAC), wodurch sowohl Vertraulichkeit als auch Integrität gewährleistet werden.
• Dateiverschlüsselung: Fotos und andere Dateien werden mit Streaming-XChaCha20-Poly1305 in 64-KB-Blöcken verschlüsselt, was eine effiziente Verschlüsselung großer Dateien ermöglicht, ohne sie vollständig in den Speicher laden zu müssen.
• Row-Level Security: Unsere Cloud-Datenbank (Supabase/PostgreSQL) erzwingt Row-Level-Security-Richtlinien (RLS), die sicherstellen, dass selbst auf Infrastrukturebene jeder Benutzer nur auf seine eigenen Zeilen verschlüsselter Daten zugreifen kann.
• Echtzeit-Synchronisierung: Die bidirektionale Synchronisierung wird von PowerSync betrieben und arbeitet mit den verschlüsselten Daten. Die Synchronisierung erfolgt über TLS-verschlüsselte Verbindungen.

5.3 Backup-Verschlüsselung

Wenn Sie ein verschlüsseltes Backup-Archiv erstellen, wird es mit ChaCha20-Poly1305 authentifizierter Verschlüsselung geschützt. Sie sind dafür verantwortlich, Ihre Backup-Dateien aufzubewahren und sich Ihre Backup-Passwörter zu merken. Wir können Backup-Passwörter nicht wiederherstellen.

6. Drittanbieterdienste

6.1 Cloud-Infrastruktur (optional)

Wenn Sie die Cloud-Synchronisierung aktivieren, verarbeiten die folgenden Dienste Ihre verschlüsselten Daten:

• Supabase: Stellt die Authentifizierung (E-Mail/Passwort) bereit und hostet die PostgreSQL-Datenbank mit Ihren verschlüsselten Daten. Supabase hat keinen Zugriff auf Ihre Entschlüsselungsschlüssel. Siehe Supabase-Datenschutzrichtlinie.
• PowerSync: Bietet bidirektionale Echtzeit-Synchronisierung zwischen Ihrer lokalen Datenbank und der Cloud. PowerSync überträgt ausschließlich verschlüsselte Daten. Siehe PowerSync-Datenschutzrichtlinie.

6.2 Abonnementverwaltung

• RevenueCat: Verwaltet In-App-Abonnementkäufe und Belegvalidierung. RevenueCat erhält Kaufbelege von Apple oder Google zusammen mit einer anonymen Kennung. Siehe RevenueCat-Datenschutzrichtlinie.

6.3 KI-Beschreibungsdienste (Optional)

Where The Bleep bietet eine optionale KI-gestützte Funktion, die Beschreibungen Ihrer Gegenstände anhand von Fotos erstellen kann. Diese Funktion ist vollständig optional und erfordert, dass Sie Ihren eigenen API-Schlüssel für den von Ihnen gewählten Anbieter bereitstellen. Wichtige Details:

• Bilder werden nur dann an den KI-Anbieter gesendet, wenn Sie ausdrücklich auf die KI-Beschreibungsschaltfläche für einen bestimmten Gegenstand tippen.
• Sie wählen und konfigurieren selbst, welchen Anbieter Sie verwenden möchten. Wir unterstützen die folgenden Anbieter: OpenAI, Groq, OpenRouter, Cloudflare Workers AI, Google Gemini, Together AI, Fireworks AI und DeepInfra.
• Ihr API-Schlüssel wird lokal auf Ihrem Gerät gespeichert und direkt von Ihrem Gerät an die API des Anbieters gesendet. Wir empfangen, speichern oder leiten Ihre API-Schlüssel niemals weiter.
• Jeder Anbieter hat seine eigenen Richtlinien zur Datenverarbeitung und -aufbewahrung. Wir empfehlen Ihnen, die Datenschutzrichtlinie des von Ihnen gewählten Anbieters zu lesen.
• Es werden keine Bilder an einen KI-Anbieter gesendet, es sei denn, Sie initiieren die Anfrage ausdrücklich.

6.4 Plattformdienste

• Apple App Store / Google Play Store: Übernehmen die gesamte Zahlungsabwicklung für Abonnements. Die jeweiligen Datenschutzrichtlinien gelten für Zahlungstransaktionen.
• Apple / Google Spracherkennung: Wenn Sie die Sprachsuche verwenden, verarbeitet der integrierte Spracherkennungsdienst Ihres Geräts Ihre Audiodaten lokal. Wir senden keine Audiodaten an einen Server.

6.5 Barcode-Abfragedienst (Optional)

Wenn Sie einen Barcode scannen, kann die App Produktinformationen über die UPCitemdb-API abrufen, einen Drittanbieter-Barcode-Datenbankdienst.

• Barcode-Abfragen werden nur gesendet, wenn Sie ausdrücklich einen Barcode scannen. Es wird ausschließlich die Barcode-Nummer übermittelt — es werden keine persönlichen Daten oder Gerätekennungen gesendet.
• Die Abfrage wird direkt von Ihrem Gerät an die Server von UPCitemdb durchgeführt. Wir leiten keine Barcode-Abfragen weiter, protokollieren oder speichern diese.
• Siehe Datenschutzrichtlinie von UPCitemdb.

6.6 Absturzberichte

• Google Firebase Crashlytics: Erfasst automatisch Absturzberichte und Stabilitätsdaten, um uns bei der Identifizierung und Behebung von App-Problemen zu unterstützen. Crashlytics erfasst Absturzprotokolle, Gerätestatusinformationen und eine Crashlytics-Installations-UUID. Es werden keine Werbekennungen, persönliche Inhalte oder verschlüsselte Eintragsdaten erfasst. Siehe Firebase-Datenschutzinformationen und Crashlytics-Nutzungsbedingungen.

7. Geräteberechtigungen

Die App kann die folgenden Geräteberechtigungen anfordern. Jede Berechtigung wird nur bei Bedarf und nur für den angegebenen Zweck angefordert:

• Kamera: Zum Aufnehmen von Fotos Ihrer Gegenstände zur Katalogisierung. Fotos werden lokal gespeichert und nur übertragen, wenn Sie die optionale KI-Beschreibungsfunktion oder die Cloud-Synchronisierung (verschlüsselt) nutzen.
• Fotobibliothek: Damit Sie vorhandene Fotos für Gegenstände auswählen oder Bilder aus der App auf Ihrem Gerät speichern können.
• Mikrofon: Zur Erfassung der Audioeingabe für die Sprachsuche. Die Audiodaten werden auf dem Gerät verarbeitet und werden nicht aufgezeichnet, gespeichert oder übertragen.
• Spracherkennung: Zur Umwandlung Ihrer Sprachsucheingabe in Text mithilfe der integrierten Spracherkennung Ihres Geräts. Die Verarbeitung erfolgt auf dem Gerät.
• Biometrische Sensoren (Face ID / Touch ID): Um eine komfortable und sichere Methode zum Entsperren der App und Ihrer Verschlüsselungsschlüssel bereitzustellen. Biometrische Daten werden vollständig von der sicheren Enklave Ihres Geräts verarbeitet und sind für die App niemals zugänglich.

Sie können jede dieser Berechtigungen jederzeit über die Systemeinstellungen Ihres Geräts widerrufen. Das Widerrufen einer Berechtigung deaktiviert die entsprechende Funktion, beeinträchtigt jedoch nicht die Kernfunktionalität der App.

8. Datenweitergabe und Offenlegung

Wir verkaufen, vermieten, verleasen oder handeln Ihre personenbezogenen Daten nicht an Dritte. Punkt.

Wir geben Informationen nur unter den folgenden eingeschränkten Umständen weiter:

• Mit Ihrer ausdrücklichen Zustimmung: Wenn Sie sich aktiv für die Nutzung eines KI-Drittanbieterdienstes entscheiden, werden Ihre Fotos direkt von Ihrem Gerät an diesen Anbieter gesendet.
• Verschlüsselte Cloud-Daten: Wenn Sie die Cloud-Synchronisierung aktivieren, werden Ihre verschlüsselten Daten (die wir nicht lesen können) auf der Supabase-Infrastruktur gespeichert.
• Abonnementverifizierung: Kaufbelege werden mit RevenueCat geteilt, um Ihr Abonnement zu validieren und zu verwalten.
• Gesetzliche Anforderungen: Wir können Informationen offenlegen, wenn dies gesetzlich, durch Vorladung, Gerichtsbeschluss oder andere rechtliche Verfahren erforderlich ist. Da Ihre Cloud-Daten jedoch Ende-zu-Ende-verschlüsselt sind und wir keine Entschlüsselungsschlüssel besitzen, sind wir technisch nicht in der Lage, den Inhalt Ihrer verschlüsselten Daten bereitzustellen, selbst wenn wir dazu gezwungen würden.
• Unternehmensübertragungen: Im Falle einer Fusion, Übernahme oder eines Verkaufs von Vermögenswerten würden Ihre Daten als Teil dieser Transaktion übertragen. Sie würden über eine solche Änderung per E-Mail (falls Sie ein Konto haben) oder durch eine Aktualisierung dieser Datenschutzrichtlinie informiert. Die Zero-Knowledge-Verschlüsselungsarchitektur bedeutet, dass jeder Nachfolger dieselbe Unmöglichkeit erbt, auf Ihre verschlüsselten Daten zuzugreifen.
• Absturzberichte: Absturzprotokolle und Gerätestatusinformationen werden automatisch zur Absturzanalyse an Google Firebase Crashlytics gesendet. Persönliche Inhalte oder verschlüsselte Daten sind nicht enthalten.

9. Datenaufbewahrung

9.1 Lokale Daten

Lokal auf Ihrem Gerät gespeicherte Daten verbleiben dort, bis Sie sie ausdrücklich löschen, Ihr Konto löschen oder die App deinstallieren. Wir haben keinen Zugriff auf oder Kontrolle über lokal gespeicherte Daten.

9.2 Cloud-Daten

Wenn Sie die Cloud-Synchronisierung nutzen, werden Ihre verschlüsselten Daten auf unseren Servern aufbewahrt, solange Ihr Konto aktiv ist. Wenn Sie Ihr Konto löschen, werden alle Cloud-Daten dauerhaft und unwiderruflich gelöscht, einschließlich:

• Alle verschlüsselten Dateien im Cloud-Speicher
• Alle verschlüsselten Datenbankeinträge
• Ihr Supabase-Authentifizierungskonto und Ihre E-Mail-Adresse

9.3 Abonnementdaten

RevenueCat bewahrt Abonnement- und Kaufbelegdaten gemäß seinen eigenen Richtlinien zur Datenaufbewahrung und den geltenden steuerlichen/finanziellen Aufbewahrungsanforderungen auf.

9.4 Keine serverseitigen Inhaltsprotokolle

Wir führen keine serverseitigen Protokolle Ihrer Gegenstandsdaten, Beschreibungen, Fotos oder sonstiger Inhalte, die Sie in die App eingeben. Standardmäßige Webserver-Zugriffsprotokolle (die IP-Adressen und Zeitstempel enthalten können) werden maximal 30 Tage lang für Sicherheits- und Betriebszwecke aufbewahrt und dann automatisch gelöscht.

10. Ihre Rechte und Wahlmöglichkeiten

10.1 Datenkontrolle

Sie haben umfassende Kontrolle über Ihre Daten innerhalb der App:

• Zugriff: Sehen Sie alle Ihre Daten jederzeit direkt in der App ein.
• Export: Exportieren Sie Ihre Daten in den Formaten CSV, JSON oder als PDF-Versicherungsbericht. Sie können auch verschlüsselte Sicherungsarchive erstellen.
• Korrektur: Bearbeiten oder aktualisieren Sie jederzeit jeden Gegenstand, Standort oder Personendatensatz.
• Löschung: Löschen Sie einzelne Gegenstände, Standorte, Personen oder Ihren gesamten Datensatz.
• Kontolöschung: Löschen Sie Ihr Konto und alle zugehörigen Cloud-Daten dauerhaft (siehe Abschnitt 11).
• Abmeldung von optionalen Funktionen: Sie können wählen, Cloud-Synchronisierung, KI-Beschreibungen oder andere optionale Funktionen nicht zu nutzen, ohne die Kernfunktionalität der App zu beeinträchtigen.

10.2 DSGVO-Rechte (Nutzer im Europäischen Wirtschaftsraum)

Wenn Sie sich im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich oder in der Schweiz befinden, haben Sie die folgenden Rechte gemäß der Datenschutz-Grundverordnung (DSGVO):

• Auskunftsrecht (Artikel 15): Sie haben das Recht, eine Kopie der personenbezogenen Daten anzufordern, die wir über Sie speichern. Da wir eine Zero-Knowledge-Verschlüsselung verwenden, können wir Ihnen als personenbezogene Daten lediglich Ihre E-Mail-Adresse (sofern Sie ein Konto haben) und Ihren Abonnementstatus mitteilen.
• Recht auf Berichtigung (Artikel 16): Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Sie können Ihre E-Mail-Adresse über die Kontoeinstellungen der App aktualisieren.
• Recht auf Löschung (Artikel 17): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen. Sie können dieses Recht ausüben, indem Sie Ihr Konto innerhalb der App löschen, wodurch alle Cloud-Daten, Authentifizierungsdaten und zugehörige Informationen dauerhaft entfernt werden.
• Recht auf Einschränkung der Verarbeitung (Artikel 18): Sie haben das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen. Kontaktieren Sie uns unter privacy@wherethebleep.app, um dieses Recht auszuüben.
• Recht auf Datenübertragbarkeit (Artikel 20): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten. Die App bietet Exportfunktionen in den Formaten CSV, JSON und PDF, um dieses Recht zu erfüllen.
• Widerspruchsrecht (Artikel 21): Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen. Da wir Ihre Daten nicht für Marketing, Profiling oder automatisierte Entscheidungsfindung verarbeiten, gilt dieses Recht in erster Linie für unsere Verarbeitung Ihrer E-Mail-Adresse zu Authentifizierungszwecken.
• Recht auf Widerruf der Einwilligung: Wenn die Verarbeitung auf einer Einwilligung beruht, können Sie die Einwilligung jederzeit widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.

Rechtsgrundlage für die Verarbeitung: Wir verarbeiten Ihre personenbezogenen Daten auf den folgenden Rechtsgrundlagen:

• Vertragserfüllung (Artikel 6 Absatz 1 Buchstabe b): Verarbeitung Ihrer E-Mail-Adresse zur Kontoerstellung und Authentifizierung sowie Verarbeitung von Abonnementdaten zur Bereitstellung von Pro-Funktionen.
• Berechtigtes Interesse (Artikel 6 Absatz 1 Buchstabe f): Aufrechterhaltung der Sicherheit der Serverinfrastruktur und Verhinderung von Missbrauch.
• Einwilligung (Artikel 6 Absatz 1 Buchstabe a): Verarbeitung von Bildern durch KI-Dienste Dritter, wenn Sie sich ausdrücklich für die Nutzung der KI-Beschreibungsfunktion entscheiden.

Datenschutzbeauftragter: Bei DSGVO-bezogenen Anfragen kontaktieren Sie uns unter privacy@wherethebleep.app. Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten, wie von der DSGVO vorgeschrieben.

Aufsichtsbehörde: Wenn Sie mit unserer Antwort nicht zufrieden sind, haben Sie das Recht, eine Beschwerde bei Ihrer zuständigen Datenschutzaufsichtsbehörde einzureichen.

10.3 CCPA-Rechte (Einwohner Kaliforniens)

Wenn Sie in Kalifornien ansässig sind, haben Sie die folgenden Rechte gemäß dem California Consumer Privacy Act (CCPA) und dem California Privacy Rights Act (CPRA):

• Recht auf Auskunft: Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir erheben, verwenden, offenlegen und verkaufen. Diese Datenschutzerklärung dient als unsere Offenlegung. Die Kategorien personenbezogener Daten, die wir möglicherweise erheben, sind: Identifikatoren (E-Mail-Adresse), kommerzielle Informationen (Abonnementstatus) und Informationen über Internet- oder sonstige elektronische Netzwerkaktivitäten (beschränkt auf standardmäßige Server-Zugriffsprotokolle).
• Recht auf Löschung: Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen. Sie können dieses Recht ausüben, indem Sie Ihr Konto innerhalb der App löschen oder uns unter privacy@wherethebleep.app kontaktieren.
• Recht auf Berichtigung: Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
• Recht auf Widerspruch gegen den Verkauf oder die Weitergabe: Wir verkaufen oder teilen Ihre personenbezogenen Daten nicht für kontextübergreifende verhaltensbasierte Werbung. Da wir Ihre Daten niemals verkaufen, ist ein Widerspruch nicht erforderlich.
• Recht auf Einschränkung der Nutzung sensibler personenbezogener Daten: Wir erheben oder verarbeiten keine sensiblen personenbezogenen Daten im Sinne des CCPA/CPRA.
• Recht auf Nichtdiskriminierung: Wir werden Sie nicht benachteiligen, weil Sie eines Ihrer CCPA-Rechte ausüben. Sie erhalten unabhängig davon, ob Sie Ihre Datenschutzrechte ausüben, den gleichen Service und die gleichen Preise.

Meine personenbezogenen Daten nicht verkaufen oder weitergeben: Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Ihre personenbezogenen Daten nicht für kontextübergreifende verhaltensbasierte Werbung weiter. Wir haben in den vergangenen 12 Monaten keine personenbezogenen Daten verkauft oder weitergegeben.

Finanzielle Anreize: Wir bieten keine finanziellen Anreize im Zusammenhang mit der Erhebung, dem Verkauf oder der Löschung personenbezogener Daten an.

Um eines dieser Rechte auszuüben, kontaktieren Sie uns unter privacy@wherethebleep.app. Wir werden Ihre Identität überprüfen, bevor wir Ihre Anfrage bearbeiten, und innerhalb von 45 Tagen antworten, wie gesetzlich vorgeschrieben.

11. Kontolöschung

Sie können Ihr Konto jederzeit innerhalb der App löschen. Die Kontolöschung ist umfassend und unwiderruflich. Der Löschvorgang entfernt:

• Alle in der Cloud gespeicherten Dateien (verschlüsselte Fotos, Sicherungen und Anhänge)
• Alle mit Ihrem Konto verknüpften Datenbankeinträge (verschlüsselte Gegenstände, Standorte, Personen, Ein-/Auscheckverlauf)
• Ihr Supabase-Authentifizierungskonto und Ihre E-Mail-Adresse
• Ihre lokale Datenbank auf dem Gerät, von dem aus Sie die Löschung veranlassen
• Alle lokalen Dateien, die mit der App auf dem auslösenden Gerät verknüpft sind
• Alle im sicheren Gerätespeicher gespeicherten Daten (Verschlüsselungsschlüssel, biometrische Token, Sitzungsdaten)

Zum Schutz vor versehentlicher oder unbefugter Löschung müssen Sie Ihr Passwort bestätigen und eine bestimmte Bestätigungsphrase eingeben, bevor die Löschung durchgeführt wird. Nach der Einleitung kann die Kontolöschung nicht rückgängig gemacht werden und Ihre Daten können nicht wiederhergestellt werden.

12. Datenexport und Datenportabilität

Wir sind der Überzeugung, dass Sie Ihre Daten jederzeit mitnehmen können sollten. Die App bietet mehrere Exportformate:

• CSV: Kommagetrennte Werte zur Verwendung in Tabellenkalkulationen und anderen Anwendungen.
• JSON: Strukturiertes Datenformat für programmatischen Zugriff und Interoperabilität.
• PDF-Versicherungsberichte: Formatierte Berichte, die für Versicherungsdokumentation und Schadensmeldungen geeignet sind.
• Verschlüsselte Sicherungsarchive: Vollständige verschlüsselte Sicherungen Ihrer gesamten Datenbank, geschützt mit ChaCha20-Poly1305 authentifizierter Verschlüsselung.

Alle Exporte werden lokal auf Ihrem Gerät erstellt. Exportdateien werden nicht an unsere Server übertragen.

13. Datenschutz für Kinder

Where The Bleep richtet sich nicht an Kinder unter 13 Jahren (oder dem in Ihrer Rechtsordnung geltenden Mindestalter). Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 13 Jahren.

Sollten wir Kenntnis davon erlangen, dass ein Kind unter 13 Jahren ein Konto erstellt oder personenbezogene Daten angegeben hat, werden wir unverzüglich Maßnahmen ergreifen, um dieses Konto und alle damit verbundenen Daten zu löschen.

Wenn Sie ein Elternteil oder Erziehungsberechtigter sind und glauben, dass Ihr Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte unter privacy@wherethebleep.app, und wir werden die Daten umgehend löschen.

Die App darf von Kindern ab 13 Jahren (oder dem in Ihrer Rechtsordnung geltenden Mindestalter) mit Einwilligung der Eltern genutzt werden. Eltern und Erziehungsberechtigte sind für die Überwachung der App-Nutzung ihres Kindes verantwortlich.

14. Internationale Datenübermittlungen

Wenn Sie die Cloud-Synchronisierung aktivieren, können Ihre verschlüsselten Daten auf Servern in den Vereinigten Staaten oder anderen Ländern gespeichert werden, in denen unsere Infrastrukturanbieter tätig sind. Da alle Cloud-Daten mit Zero-Knowledge-Architektur Ende-zu-Ende-verschlüsselt sind, hat der physische Standort der Server keinen Einfluss auf die Vertraulichkeit Ihrer Daten, da sie von niemandem außer Ihnen gelesen oder entschlüsselt werden können.

Wenn Sie optionale KI-Beschreibungsdienste nutzen, werden Ihre Bilder direkt von Ihrem Gerät an den von Ihnen ausgewählten KI-Anbieter gesendet. Diese Anbieter können Ihre Bilder je nach ihrer Infrastruktur in verschiedenen Rechtsgebieten verarbeiten. Sie wählen den Anbieter aus und sind dafür verantwortlich, dessen Datenverarbeitungspraktiken zu überprüfen.

Für Nutzer im Europäischen Wirtschaftsraum: Soweit personenbezogene Daten außerhalb des EWR übermittelt werden, stellen wir sicher, dass geeignete Schutzmaßnahmen vorhanden sind, einschließlich von der Europäischen Kommission genehmigter Standardvertragsklauseln. Die Zero-Knowledge-Verschlüsselung bietet eine zusätzliche ergänzende Maßnahme im Sinne der Schrems-II-Entscheidung, da die Daten für jede Partei ohne die Entschlüsselungsschlüssel, die ausschließlich bei Ihnen liegen, unverständlich sind.

15. Reaktion auf Sicherheitsvorfälle

Im unwahrscheinlichen Fall einer Sicherheitsverletzung unserer Cloud-Infrastruktur werden wir:

• Betroffene Nutzer innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls per E-Mail benachrichtigen, wie von der DSGVO und anderen geltenden Gesetzen vorgeschrieben.
• Eine klare Beschreibung der Art des Vorfalls und der potenziell betroffenen Datenarten bereitstellen.
• Die ergriffenen und vorgeschlagenen Maßnahmen zur Behebung des Vorfalls beschreiben.
• Den Vorfall bei der zuständigen Aufsichtsbehörde melden, soweit gesetzlich vorgeschrieben.

Es ist wichtig zu beachten, dass aufgrund unserer Zero-Knowledge-Verschlüsselungsarchitektur selbst im Falle einer Sicherheitsverletzung unserer Cloud-Infrastruktur Ihre Gegenstandsdaten, Fotos, Beschreibungen und sonstigen Inhalte verschlüsselt und für Unbefugte unlesbar bleiben würden. Die einzigen unverschlüsselten Daten, die auf unseren Servern gespeichert sind, sind Ihre E-Mail-Adresse und Ihr Abonnementstatus.

16. Cookies und Tracking-Technologien

Die mobile Anwendung Where The Bleep verwendet keine Cookies, Web-Beacons, Zählpixel oder andere Tracking-Technologien. Wir setzen kein Fingerprinting oder andere Mechanismen ein, um Nutzer über Anwendungen oder Websites hinweg zu identifizieren oder zu verfolgen.

Die Website von Where The Bleep (wherethebleep.app) kann essenzielle Cookies verwenden, die für die Funktionalität der Website zwingend erforderlich sind. Auf unserer Website werden keine Analyse- oder Werbe-Cookies eingesetzt.

17. Änderungen dieser Datenschutzrichtlinie

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken, Technologien, rechtlichen Anforderungen oder anderer Faktoren widerzuspiegeln. Wenn wir Änderungen vornehmen:

• Wir werden das Datum „Zuletzt aktualisiert" am Anfang dieser Seite aktualisieren.
• Bei wesentlichen Änderungen werden wir Sie per E-Mail (sofern Sie ein Konto haben) oder durch eine In-App-Benachrichtigung informieren.
• Wir werden Sie mindestens 30 Tage vor Inkrafttreten wesentlicher Änderungen informieren, damit Sie Gelegenheit haben, die aktualisierte Richtlinie zu prüfen.
• Ihre fortgesetzte Nutzung der App nach Inkrafttreten der Änderungen gilt als Ihre Zustimmung zur aktualisierten Datenschutzrichtlinie.

Wir empfehlen Ihnen, diese Datenschutzrichtlinie regelmäßig zu überprüfen, um darüber informiert zu bleiben, wie wir Ihre Daten schützen. Frühere Versionen dieser Richtlinie sind auf Anfrage erhältlich.

18. Kontakt

Wenn Sie Fragen, Bedenken oder Anfragen zu dieser Datenschutzrichtlinie oder unseren Datenschutzpraktiken haben, kontaktieren Sie uns bitte:

E-Mail: privacy@wherethebleep.app

Wir sind bestrebt, alle datenschutzbezogenen Anfragen innerhalb von 30 Tagen zu beantworten. Für Auskunftsersuchen betroffener Personen gemäß der DSGVO antworten wir innerhalb der gesetzlich vorgeschriebenen Frist.

Wenn Sie der Ansicht sind, dass Ihre Datenschutzrechte verletzt wurden, haben Sie das Recht, eine Beschwerde bei Ihrer zuständigen Datenschutzbehörde einzureichen.