Datenschutzerklärung

Diese Datenschutzerklärung informiert dich über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung der Emira-App und der zugehörigen Webseiten. Sie erfüllt die Anforderungen der Artikel 13 und 14 der Datenschutz-Grundverordnung (DSGVO).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO, des Bundesdatenschutzgesetzes (BDSG) und weiterer datenschutzrechtlicher Bestimmungen ist der im Fuß dieses Dokuments genannte Betreiber der Emira-App. Datenschutz-Anfragen richtest du bitte an info@stadtrausch.com.

2. Allgemeine Hinweise

Wir nehmen den Schutz deiner personenbezogenen Daten ernst. Dieses Dokument erklärt, welche Daten wir erheben, zu welchem Zweck wir sie verarbeiten und auf welcher Rechtsgrundlage wir dabei handeln. Bei Fragen zum Datenschutz erreichst du uns jederzeit unter info@stadtrausch.com.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

3. Deine Rechte als betroffene Person

Dir stehen gegenüber uns die folgenden Rechte hinsichtlich der dich betreffenden personenbezogenen Daten zu:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung deiner Rechte wende dich an info@stadtrausch.com.

Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe steht dir das Recht zu, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18
91522 Ansbach
Deutschland

4. Erhobene Daten, Verarbeitungszwecke und Rechtsgrundlagen

Wir verarbeiten die nachfolgend genannten Datenkategorien. Die Übersicht enthält pro Kategorie den Zweck, die Rechtsgrundlage (Art. 6 DSGVO), die Speicherdauer sowie die relevanten Empfänger.

4.1 Account und Authentifizierung

Daten: E-Mail-Adresse (für Magic-Link-OTP-Login, kein Passwort).

Zweck: Identifikation, Authentifizierung, Bereitstellung der App, Kommunikation mit dir.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: bis zur Account-Löschung; danach 30 Tage Soft-Delete, anschließend Hard-Delete.

Empfänger: Supabase Inc. (Hosting, Auth).

4.2 Profildaten

Daten: Username (Pflicht), Geburtsdatum (Pflicht, mindestens 18 Jahre), Display-Name, Avatar-Foto (optional, optional unscharf), Header-Foto, Bio, Stadt, Interessen, Beziehungs-Intent (friendship, dating, networking, open_to_all), Lieblingszitat, Persönlichkeits-Merkmale, Looking-For-Text, Größe, Beruf, Bildung, Sprachen.

Zweck: Darstellung deines Profils, Matching, Discovery, Personalisierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), für freiwillige Felder zusätzlich Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem aussagekräftigen Profil).

Speicherdauer: bis zur Account-Löschung; danach 30 Tage Soft-Delete, anschließend Hard-Delete.

Empfänger: Supabase Inc.

4.3 Spots (Begegnungs-Beschreibungen)

Daten: Textbeschreibung, Mood-Tag, Zeitfenster, Lebenszyklus (24, 72 oder 168 Stunden), Challenge-Frage sowie SHA-256-Hash der Challenge-Antwort.

Zweck: Veröffentlichung des Spots im Discovery-Feed, Matching, Anti-Missbrauchsschutz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Integrität der Plattform).

Speicherdauer: bis zum Ende des Lebenszyklus (max. 168 Stunden), anschließend 30 Tage Archiv, danach Hard-Delete. Koordinaten werden nach Ablauf anonymisiert.

Besonderheit: Die Challenge-Antwort wird ausschließlich als SHA-256-Hash gespeichert und ist für uns nicht im Klartext lesbar.

Empfänger: Supabase Inc.

4.4 Standortdaten

Daten: GPS-Koordinaten (Breiten- und Längengrad), gespeichert in PostGIS.

Zweck: Spot-Erstellung, Umkreis-Discovery, Karten-Darstellung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Berechtigungs-Dialog deines Betriebssystems; jederzeit widerrufbar durch Entzug der Standort-Berechtigung).

Speicherdauer: exakte Koordinaten für die Dauer des Spot-Lebenszyklus plus 30 Tage Archiv, anschließend Löschung bzw. Anonymisierung.

Besonderheit — Präzisionsschutz: Bei aktivierter Option „Standort unscharf" sehen andere Nutzer deinen Spot nur innerhalb eines Unschärfe-Radius von rund 100 Metern; zusätzlich nutzen wir eine Zone-Granularität von rund 1 Quadratkilometer als Fallback. Die exakten Koordinaten verbleiben in der Datenbank, werden Dritten aber nicht exakt angezeigt.

Empfänger: Supabase Inc.; Kartenkachel-Anfragen an CartoDB Inc. (nur Viewport-Begrenzung, keine Nutzer-Identifier).

4.5 Recognition und Match

Daten: Recognizer-ID, eingereichte Challenge-Antwort im Klartext (nur zur einmaligen Prüfung gegen den Hash), Status, Spotter-ID, Spotted-ID, Reveal-Level.

Zweck: Prüfung der Erkennung, Herstellung eines Matches, Freischaltung des Chats.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Klartext-Antwort: 30 Tage, anschließend Löschung. Match-Datensatz: bis Löschung des Matches oder Accounts.

Empfänger: Supabase Inc.

4.6 Chat-Nachrichten und Bilder

Daten: Text-, Bild-, Emoji- und Gesten-Nachrichten (z.B. „Herzschlag"), System-Events, Bild-Attachments.

Zweck: 1:1-Kommunikation zwischen gematchten Nutzern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: bis zur Löschung des Matches oder Accounts. Chat-Bilder werden kaskadisch mit der zugehörigen Nachricht oder dem Match gelöscht.

Empfänger: Supabase Inc. (Storage-Bucket chat-images).

4.7 Kompatibilitäts-Wizard

Daten: 5 Kompatibilitätsfragen und Antworten beider Nutzer, berechneter Kompatibilitäts-Score.

Zweck: Verbesserung des Match-Erlebnisses.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: bis zur Löschung des Matches oder Accounts.

Empfänger: Supabase Inc.

4.8 In-App-Käufe und Wallet

Daten: Quittungs-IDs, Produkt-IDs, interne Wallet-Salden in Cent, Transaktions-Historie. Zahlungsdaten werden von uns nicht erhoben oder gespeichert.

Zweck: Durchführung von In-App-Käufen, Buchführung, Verhinderung doppelter Einlösung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Pflichten).

Speicherdauer: Transaktionsdaten bis zu 7 Jahre.

Empfänger: Apple Inc., Google LLC, RevenueCat, Inc.

4.9 Push-Benachrichtigungen

Daten: Firebase-Cloud-Messaging-Token (Device-Token), Plattform-Typ (iOS/Android).

Zweck: Versand von Push-Benachrichtigungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Nur bei aktivem Opt-in.

Speicherdauer: bis zum Widerruf oder zur Account-Löschung.

Empfänger: Google Firebase Cloud Messaging (Google LLC).

4.10 Moderation, Meldungen und Blocks

Daten: Melder-ID, gemeldete Entität, Meldegrund, Freitext-Beschreibung, Block-Listen.

Zweck: Schutz der Community, Durchsetzung von Community Guidelines und AGB.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, Art. 6 Abs. 1 lit. c DSGVO.

Speicherdauer: bis zur Schließung des Vorgangs, dann Archiv im Audit-Log.

Empfänger: Supabase Inc.

4.11 Audit-Log

Daten: unveränderliche Protokolldatensätze sicherheits- und moderationsrelevanter Ereignisse.

Zweck: Nachvollziehbarkeit, Beweissicherung, Erfüllung gesetzlicher Pflichten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.

Speicherdauer: 7 Jahre.

Empfänger: Supabase Inc.

5. Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter im Sinne des Art. 28 DSGVO ein. Mit jedem Dienstleister besteht ein Data Processing Agreement (DPA).

5.1 Supabase Inc.

Sitz: San Francisco, Kalifornien, USA; Produktionsserver in der Europäischen Union (Region Frankfurt, Deutschland). Zweck: Hosting, Datenbank (PostgreSQL mit PostGIS), Auth, Storage, Realtime, Edge Functions. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandsangaben: Die US-Muttergesellschaft kann technisch zugreifen; Absicherung über EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Der DPA wurde abgeschlossen.

5.2 Apple Inc. / Google LLC

Sitz: Cupertino bzw. Mountain View, Kalifornien, USA. Zweck: Abwicklung von In-App-Käufen über App Store bzw. Google Play als Merchant of Record. Daten: Quittungs-IDs, Produkt-IDs. Zahlungsdaten werden ausschließlich bei Apple/Google verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandsangaben: EU-Standardvertragsklauseln.

5.3 Google Firebase Cloud Messaging (Google LLC)

Sitz: Mountain View, Kalifornien, USA; Endpunkte auch in Frankfurt, Deutschland. Zweck: Versand von Push-Benachrichtigungen. Daten: Device-Token, kurze Payload-Texte. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Nur bei aktivem Push-Opt-in. Drittlandsangaben: EU-Standardvertragsklauseln.

5.4 CartoDB Inc.

Sitz: USA; CDN-Endpunkte (basemaps.cartocdn.com) weltweit inklusive EU. Zweck: Auslieferung von Kartenkacheln. Daten: Viewport-Koordinaten, Zoom-Stufe; keine Nutzer-Identifier. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandsangaben: EU-Standardvertragsklauseln.

5.5 RevenueCat, Inc.

Sitz: San Francisco, Kalifornien, USA. Zweck: Verifikation von IAPs, Sync des Subscription-Status. Daten: IAP-Quittungsdaten, pseudonyme Nutzer-ID. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandsangaben: EU-Standardvertragsklauseln. Der DPA wurde abgeschlossen.

6. Drittlandsübermittlung

Einige der genannten Auftragsverarbeiter haben ihren Hauptsitz in den Vereinigten Staaten. Eine Übermittlung erfolgt nur, soweit dies für die Leistungserbringung erforderlich ist.

Die Übermittlung ist abgesichert durch Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Ergänzend prüfen wir je Empfänger, ob zusätzliche technische und organisatorische Garantien (z.B. Verschlüsselung, Pseudonymisierung, Datenminimierung) erforderlich sind. Wo vorhanden, berufen wir uns zusätzlich auf einen aktuellen Angemessenheitsbeschluss (etwa das EU-US Data Privacy Framework, soweit zertifiziert).

7. Speicherdauer (Übersicht)

Profildaten: bis zur Account-Löschung
Nach Account-Löschung: 30 Tage Soft-Delete, danach Hard-Delete
Audit-Log: 7 Jahre
Spots: bis Ende des Lebenszyklus (max. 168h) plus 30 Tage Archiv
Chat-Nachrichten: bis Löschung des Matches/Accounts
Chat-Bilder: kaskadische Löschung
Challenge-Antwort (Klartext): 30 Tage
IAP-Transaktionsdaten: bis zu 7 Jahre

8. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. Die Anzeige und Reihung von Spots erfolgt algorithmisch, entfaltet aber keine rechtliche Wirkung und beeinträchtigt dich nicht in ähnlich erheblicher Weise.

9. Cookies und lokale Speicherung

Die Emira-App verwendet keine Cookies im klassischen Sinne. Zur Wahrung deiner Sitzung speichern wir lokal auf deinem Gerät:

Auth-Session-Token (in sicherem, plattformspezifischem Storage)
App-Einstellungen (SharedPreferences/NSUserDefaults)

Wir setzen keine Werbe-Tracker, Analytics-Cookies oder Drittanbieter-Tracking-Pixel ein.

10. Sicherheit der Verarbeitung

Transportverschlüsselung (TLS) für alle Datenübertragungen
Row-Level-Security (RLS) auf Datenbank-Ebene
Datenminimierung und Zweckbindung
Pseudonymisierung (andere Nutzer sehen nur deinen Username)
regelmäßige Prüfung von Zugriffsrechten und Auftragsverarbeitern

11. Minderjährigenschutz

Die Emira-App richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Bei entsprechendem Hinweis an info@stadtrausch.com werden wir den betroffenen Account unverzüglich sperren und die zugehörigen Daten löschen.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Rechtsgrundlagen, Funktionen oder eingesetzte Dienstleister ändern. Bei wesentlichen Änderungen informieren wir rechtzeitig per In-App-Hinweis.

13. Kontakt Datenschutz

Meier Tobias, Rosenthal Jürgen GbR Bodelschwinghstraße 27
92224 Amberg, Deutschland
E-Mail: info@stadtrausch.com