Datenschutzerklärung
Stand: März 2026
1. Verantwortlicher
Maksym Turyk
Brahmsstraße 20
73430 Aalen, Deutschland
E-Mail: maksymturyk@icloud.com
2. Überblick
BrainFeed ist eine Bildungs-App, die Faktenwissen vermittelt und Quiz-Spiele anbietet. Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir erheben, wie wir sie verarbeiten und welche Rechte Sie haben.
Pflicht zur Bereitstellung
Die Bereitstellung bestimmter Daten ist technisch erforderlich, um die App bereitzustellen und Missbrauch zu verhindern (z.B. App-Installations-ID). Ohne diese Daten kann BrainFeed ggf. nicht oder nur eingeschränkt genutzt werden.
Push-Benachrichtigungen sind freiwillig. Wenn Sie nicht einwilligen, erhalten Sie keine Push-Benachrichtigungen.
3. Erhobene Daten
3.1 Authentifizierung
Wenn Sie sich über Google oder Apple anmelden, erheben wir:
Authentifizierungs-ID des Anbieters
- Zweck: Eindeutige Identifikation Ihres Kontos
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Anzeigename und Benutzername
- Zweck: Darstellung in der App
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Avatar-Auswahl
- Zweck: Vordefinierte Avatare
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Letzter Login (nur Datum)
- Zweck: Kontoverwaltung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Profil-Privatsphäre-Einstellung
- Wert: 'friends_only' (Standard), 'public' oder 'private'
- Zweck: Kontrolle über die Sichtbarkeit Ihrer Profildaten und Statistiken
- Funktion: Die Detail-Profilansicht und erweiterte Statistiken sind bei 'friends_only' nur für bestätigte Freunde sichtbar, bei 'private' nur für Sie selbst und bei 'public' für alle angemeldeten Nutzer
- Hinweis: Für soziale Vernetzung bleiben Basis-Profildaten (Username, Anzeigename, Avatar und Basis-Stats) in der Nutzersuche auffindbar
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Supporter-Abo Identifikation (optional)
- RevenueCat-ID (nur bei Supporter-Abo)
- Supporter-Status und Supporter-seit-Datum
- Zweck: Verwaltung des Supporter-Abonnements und Freischaltung von Premium-Features
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Was wir NICHT speichern:
- Ihre E-Mail-Adresse
- Ihr Passwort
- Profilbilder von Google/Apple
- Datei-Uploads für Profilbilder und externe Avatar-URLs außerhalb unseres Katalogs
SSO-Hinweis: Bei Google/Apple Sign-In kann die E-Mail-Adresse technisch im ID-Token enthalten sein. Wir verwenden diese nicht zur Kontoanlage und speichern sie nicht in unserer Datenbank; gespeichert wird nur die Provider-ID (sub).
Die Authentifizierung erfolgt ausschließlich über SSO-Anbieter (Google/Apple). Sie können nur aus vordefinierten Avataren wählen.
3.2 Nutzungsdaten
Quiz und Spiele
- Gespielte Quiz-Spiele und Ergebnisse
- Antwortzeiten in Millisekunden (Response Times)
- Spielfortschritt und erweiterte Statistiken (Win-/Loss-Streaks, perfekte Spiele, Comebacks, Joker-Nutzung)
- Head-to-Head Bilanz gegen andere Spieler (Siege/Niederlagen/Unentschieden pro Gegner)
- Kategorie-bezogene Statistiken (Genauigkeit, durchschnittliche Antwortzeit pro Kategorie)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Interaktionen
- Angesehene, gelikte und gespeicherte Fakten
- Feed-Events zur Personalisierung (z.B. Impression-Start/-Ende, Skip, Deep-Dive-Open) inkl. Zeitpunkt, Fakten-ID, Kategorie, Session-ID, Position und Verweildauer in Millisekunden
- Tägliche Nutzungsstreaks (Daily Streaks) und Aktivitätsmuster (aktivster Wochentag)
- Personalisierung des Feeds
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Gamification
- Streaks, Level, XP und Erfolge
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Supporter Features (optional)
- Erweiterte Statistiken mit detaillierten Insights (Speed Stats, Mastery, Highlights, Head-to-Head Records)
- Kosmetische Items (Badges, Titel, Card Styles, Backcards, Avatare) - gespeichert in strukturiertem JSONB-Format
- Freigeschaltete Items-Liste (IDs der freigeschalteten kosmetischen Items)
- Aktuell ausgerüstete Items (welche Badges, Titel, Card Styles gerade verwendet werden)
- In-App-Käufe über RevenueCat/Apple App Store (derzeit iOS, siehe Abschnitt 4.8)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Social Features
- Freundschaftsbeziehungen und Freundschaftsanfragen
- Multiplayer-Funktionen (Brainbattle)
- Head-to-Head Statistiken (Spielbilanz gegen spezifische Spieler mit Anzeigename und Avatar)
- Öffentliche Profile mit Statistiken (für Freunde und Herausforderungen sichtbar)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Hinweis zur Personalisierung: Zur Personalisierung des Feeds verarbeiten wir Interaktionen (Views/Likes/Bookmarks) und Feed-Events (z.B. Verweildauer/Skips). Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung statt.
WICHTIG - WIDERSPRUCHSRECHT (Art. 21 DSGVO): Soweit wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) verarbeiten, können Sie dieser Verarbeitung jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Das gilt insbesondere für Sicherheits- und Missbrauchspräventionsdaten (z.B. IP-Hash-Verarbeitung).
3.3 Technische Daten
App-Installations-ID (zufällige UUID)
- Zweck: Missbrauchsprävention
- Speicherort: Server
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
IP-Adresse und IP-Hash (Sicherheitszwecke)
- Zweck: Begrenzung der Anfragerate (Rate Limiting), Missbrauchserkennung, Sicherheit und Stabilität
- Verarbeitung: Kurzfristige Verarbeitung der IP in Infrastruktur-Logs; im App-System speichern wir für Geräteschutz nur einen gekürzten, nicht rückrechenbaren Hashwert (One-Way-Hash)
- Speicherort: Server
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Plattform und App-Version
- Zweck: Kompatibilität und Support
- Speicherort: Server
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Automatische Fehlerberichte (Error Tracking)
- Zweck: Erkennung und Behebung von App-Fehlern zur Verbesserung der Stabilität
- Daten: Fehlermeldungen, Stack-Traces, Geräteinformationen (Betriebssystem, App-Version), anonyme Session-ID
- Anbieter: Sentry (Functional Software, Inc., USA) — EU-Region (Frankfurt)
- Hinweis: Es werden keine personenbezogenen Daten wie E-Mail oder Benutzername übertragen; Initialisierung erst nach Einwilligung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Optionale Nutzungsanalyse (Aptabase)
- Zweck: Datenschutzfreundliche Produktanalyse (z.B. App-Starts, genutzte Funktionen)
- Daten: Von uns aktiv gesendete Ereignisse (Event-Name, Zeitstempel, optionale Event-Eigenschaften), ohne von uns übermittelte User-IDs, E-Mail-Adressen oder persistente Gerätekennungen
- Anbieter: Aptabase (Sumbit GmbH) — EU-Hosting in Finnland (Helsinki, Hetzner)
- Hinweis: Initialisierung erst nach Einwilligung; Widerruf jederzeit in den App-Einstellungen möglich
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Push-Token (optional)
- Zweck: Benachrichtigungen
- Speicherort: Server
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
App-Einstellungen
- Zweck: Benutzerpräferenzen
- Speicherort: Ihr Gerät (lokal)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Sitzungs-Tokens
- Zweck: Anmeldesitzung
- Speicherort: Ihr Gerät (verschlüsselt)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Zugriff auf Fotos und Speicher (optional)
- Zweck: Teilen-Funktion für Fakten als Bild
- Funktion: Temporäres Speichern eines generierten Bildes zum Teilen
- Speicherort: Nur auf Ihrem Gerät (wird nicht hochgeladen)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Hinweis zum Speicherzugriff: Die Berechtigung wird nur angefordert, wenn Sie die Teilen-Funktion nutzen. Das generierte Bild wird temporär gespeichert und kann von Ihnen geteilt oder gelöscht werden. Wir haben keinen Zugriff auf Ihre anderen Fotos oder Dateien.
Hinweis zur App-Installations-ID: Diese ist eine zufällig erzeugte UUID und basiert nicht auf Hardware-Kennungen (z.B. IMEI).
Unser berechtigtes Interesse liegt in der Sicherheit und Stabilität unserer Dienste sowie der Abwehr von Missbrauch.
3.4 Freiwillige Daten
Fehlermeldungen zu Fakten
- Kategorie, optionaler Freitext, interne Nutzerkennung (user_id), factsheet_id
- Zweck: Qualitätssicherung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Bug-Reports
- Beschreibung, OS-Typ (anonymisiert), App-Version, interne Nutzerkennung (user_id)
- Zweck: Fehlerbehebung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Wichtig: Bitte geben Sie in Freitext-Feldern keine sensiblen Daten an (E-Mail, Telefon, etc.).
3.5 Kontaktaufnahme per E-Mail
- Wenn Sie uns per E-Mail kontaktieren (maksymturyk@icloud.com), speichern wir Ihre E-Mail-Adresse und Ihre Angaben zur Bearbeitung Ihrer Anfrage.
- Zweck: Bearbeitung Ihrer Anfrage und Kommunikation
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung)
- Speicherdauer: Bis zur vollständigen Bearbeitung Ihrer Anfrage oder gemäß gesetzlicher Aufbewahrungsfristen
4. Drittanbieter
Hinweis zu Drittlandübermittlungen
Einige Anbieter haben ihren Sitz außerhalb der EU (z.B. USA). In diesen Fällen stützen wir die Übermittlung auf:
- EU-US Data Privacy Framework (DPF) – soweit Anbieter zertifiziert sind
- EU-Standardvertragsklauseln (SCC) – andernfalls
- Technische Schutzmaßnahmen (Verschlüsselung)
Hinweis: Wir prüfen regelmäßig die DPF-Zertifizierung unserer US-Anbieter. Soweit eine Zertifizierung vorliegt, stützen wir uns auf das DPF. Andernfalls verwenden wir EU-Standardvertragsklauseln (SCC) als Rechtsgrundlage für die Datenübermittlung.
4.1 Hetzner Online GmbH
- Zweck: Hosting unserer Backend-Server
- Rolle: Auftragsverarbeiter (Art. 28 DSGVO)
- Standort: Finnland (Helsinki, EU)
- Daten: Alle App-Daten
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
- Vertrag: Auftragsverarbeitungsvertrag (AVV/DPA)
4.2 Expo Inc.
- Zweck: OTA-Updates und Push-Infrastruktur
- Standort: USA
- Daten: App-Version, Device-Typ, Push-Tokens
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Updates), Art. 6 Abs. 1 lit. a DSGVO (Push)
- Drittland: USA
- Garantien: EU-US Data Privacy Framework (DPF), EU-Standardvertragsklauseln (SCC)
Expo ist GDPR-, CCPA- und Data Privacy Framework-compliant. Expo ist ein unabhängiger Anbieter und gehört nicht zu Facebook/Meta.
Vertrag: Auftragsverarbeitungsvertrag (AVV/DPA)
4.3 Firebase / Google Cloud
- Zweck: Push-Benachrichtigungen (Android) und Google Sign-In
- Standort: USA (mit EU-Datenverarbeitung für FCM)
- Daten: Push-Tokens, Authentifizierungsdaten
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Push), Art. 6 Abs. 1 lit. b DSGVO (Login)
- Drittland: USA
- Garantien: EU-US Data Privacy Framework (DPF), EU-Standardvertragsklauseln (SCC)
Hinweis zu In-App-Käufen: Das Supporter-Abo wird derzeit nur über den Apple App Store angeboten. Ein Google-Play-Rollout wird bei Verfügbarkeit separat ausgewiesen.
Vertrag: Auftragsverarbeitungsvertrag (AVV/DPA) gemäß Google Cloud Data Processing Terms
4.4 Apple Inc.
- Zweck: Apple Sign-In, Push (iOS) und In-App-Käufe (Supporter-Abo)
- Standort: USA/Irland
- Daten: Authentifizierungsdaten, Push-Tokens, Transaktionsinformationen (bei Käufen)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Login, Käufe), Art. 6 Abs. 1 lit. a DSGVO (Push)
- Drittland: USA
- Garantien: EU-US Data Privacy Framework (DPF), EU-Standardvertragsklauseln (SCC)
Hinweis zu In-App-Käufen: Die Zahlungsabwicklung erfolgt vollständig über Apple. Wir erhalten nur eine Bestätigung über den erfolgreichen Kauf (ohne Zahlungsdaten wie Kreditkartennummern).
Vertrag: Apple Developer Program License Agreement (enthält Datenschutzbestimmungen)
4.5 React Native (Meta)
- Zweck: Framework-Basis der App
- Standort: Open Source, läuft lokal
- Daten: Keine - Framework ohne Datenübertragung
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
React Native ist ein Open-Source-Framework und überträgt keine Daten an Meta/Facebook.
4.6 Cloudflare Inc.
- Zweck: CDN, DDoS-Schutz und HTTPS
- Standort: USA (globale Rechenzentren)
- Daten: IP-Adressen (kurzfristig), HTTP-Header, Zugriffsdaten
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit)
- Drittland: USA
- Garantien: EU-US Data Privacy Framework (DPF), EU-Standardvertragsklauseln (SCC)
Cloudflare schützt unsere Infrastruktur vor Angriffen und sorgt für sichere, verschlüsselte Verbindungen.
Vertrag: Auftragsverarbeitungsvertrag (AVV/DPA)
4.7 Aptabase (Sumbit GmbH)
- Zweck: Datenschutzfreundliche Nutzungsstatistiken (z.B. App-Starts, genutzte Funktionen)
- Standort: Finnland (Helsinki, EU, Hetzner)
- Daten: Ereignisdaten, die wir aktiv senden (Event-Name, Zeitstempel, optionale Event-Eigenschaften). Keine von uns übermittelten User-IDs, E-Mail-Adressen oder persistenten Gerätekennungen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Aptabase wird erst nach Einwilligung initialisiert und kann in den App-Einstellungen jederzeit widerrufen werden. Laut Aptabase können serverseitig zur Missbrauchsabwehr und für grobe Daily-Unique-Schätzungen technische Merkmale (z.B. IP-Adresse/User-Agent) nur in gehashter, kurzlebiger Form mit täglich rotierendem Salt verarbeitet werden; daraus wird kein dauerhaftes Nutzerprofil gebildet.
Vertrag: Auftragsverarbeitungsvertrag (AVV/DPA)
4.8 RevenueCat Inc.
- Zweck: Verwaltung von In-App-Käufen und Supporter-Abonnements
- Standort: USA
- Daten: RevenueCat-ID (Nutzerkennung), Abo-Status, Kauf-Events (INITIAL_PURCHASE, RENEWAL, CANCELLATION, EXPIRATION)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung)
- Drittland: USA
- Garantien: EU-US Data Privacy Framework (DPF), EU-Standardvertragsklauseln (SCC), SOC 2 Type II zertifiziert
Funktion: RevenueCat koordiniert aktuell Supporter-Abonnements für iOS (Apple App Store). Die eigentliche Zahlungsabwicklung erfolgt durch Apple. RevenueCat sendet uns Webhook-Events über Änderungen des Abo-Status.
Datenschutz: Informationen zu RevenueCats Datenschutzpraktiken finden Sie unter https://www.revenuecat.com/privacy
Wichtig: Wir erhalten keine Zahlungsdaten (Kreditkartennummern, Bankverbindungen). Diese werden ausschließlich vom jeweiligen Store-Anbieter verarbeitet.
Vertrag: Auftragsverarbeitungsvertrag (AVV/DPA)
4.9 Sentry (Functional Software, Inc.)
- Zweck: Error Tracking und Crash-Reporting zur Verbesserung der App-Stabilität
- Standort: USA (mit EU-Datenverarbeitung in Frankfurt)
- Daten: Fehlermeldungen, Stack-Traces, Gerätetyp, Betriebssystem, App-Version, anonyme Session-ID
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
- Drittland: USA
- Garantien: EU-US Data Privacy Framework (DPF), EU-Standardvertragsklauseln (SCC)
Funktion: Sentry erfasst automatisch technische Fehler in der App und hilft uns, Abstürze und Bugs zu beheben. Die Datenverarbeitung erfolgt in der EU-Region (Frankfurt).
Datenschutz: Es werden keine personenbezogenen Daten wie E-Mail-Adressen oder Benutzernamen übertragen. Die Initialisierung erfolgt nur nach Ihrer Einwilligung und kann in den App-Einstellungen widerrufen werden.
Weitere Infos: https://sentry.io/privacy/
Vertrag: Auftragsverarbeitungsvertrag (AVV/DPA)
5. Lokale Speicherung
MMKV / AsyncStorage (unverschlüsselt)
- Primär MMKV; Fallback auf AsyncStorage, falls MMKV nicht verfügbar ist
- App-Einstellungen
- Lokale Caches (Bookmarks, Likes)
- App-Installations-ID
SecureStore (verschlüsselt)
- Authentifizierungs-Tokens (JWT, Refresh)
- Geräte-Token (Anti-Scraping)
- Verschlüsselung: iOS Keychain / Android Keystore
Diese Daten bleiben auf Ihrem Gerät und werden bei Deinstallation gelöscht.
Rechtsgrundlage gem. TDDDG: Die Speicherung der App-Installations-ID und der Sitzungs-Tokens auf Ihrem Endgerät ist für die Bereitstellung des Dienstes unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG). Für optionale Speicherungen (Analytics, Error Tracking) holen wir Ihre Einwilligung ein (§ 25 Abs. 1 TDDDG).
6. Speicherdauer
| Datenart | Speicherdauer |
|---|---|
| Kontodaten (inkl. Profil-Privatsphäre-Einstellung) | Bis zur Löschung des Kontos |
| Spielstatistiken (inkl. Response Times, H2H Records) | Bis zur Löschung |
| Erweiterte Statistiken (Supporter Features) | Bis zur Löschung |
| Kosmetische Items (Badges, Titel, Card Styles, etc.) | Bis zur Löschung des Kontos |
| RevenueCat-ID und Supporter-Status | Bis zur Löschung des Kontos |
| Push-Token | Bis zum Widerruf |
| Refresh-Tokens | 30 Tage (automatisch) |
| Widerrufene Tokens | 7 Tage |
| Aptabase Analytics-Ereignisse | Bis zu 5 Jahre (laut Aptabase) |
| User-Interaktionen (Feed) | 90 Tage (automatisch) |
| Feed-Events (Ranking-Signale) | 90 Tage (automatisch) |
| Device-Tokens | 180 Tage Inaktivität (automatisch) |
| Bug-Reports | 2 Jahre |
| Fakt-Reports | 2 Jahre |
| Fragen-Reports (Quiz) | 2 Jahre |
| Fehlerberichte (Error Tracking) | 90 Tage |
| Server-Logs | 7-30 Tage |
Wir folgen dem Prinzip der Datensparsamkeit. Alte Daten werden durch regelmäßige Löschläufe entfernt (in der Regel täglich geplant).
7. Ihre Rechte
| Recht | Artikel | Beschreibung |
|---|---|---|
| Auskunft | Art. 15 | Sie können Auskunft über Ihre Daten verlangen |
| Berichtigung | Art. 16 | Sie können fehlerhafte Daten korrigieren lassen |
| Löschung | Art. 17 | Sie können die Löschung verlangen |
| Einschränkung | Art. 18 | Sie können die Verarbeitung einschränken lassen |
| Datenübertragbarkeit | Art. 20 | Sie können Ihre Daten als JSON exportieren |
| Widerspruch | Art. 21 | Sie können der Verarbeitung widersprechen |
| Widerruf | Art. 7 | Sie können Einwilligungen widerrufen |
Besonders wichtig: Ihr Widerspruchsrecht nach Art. 21 DSGVO gilt ausdrücklich für Verarbeitungen auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Datenexport: Sie können Ihre Daten jederzeit direkt in der App exportieren (Einstellungen > Daten > Datenexport). Technisch erfolgt der Export über den geschützten Endpunkt /api/auth/export.
Kontolöschung
Sie können Ihr Konto jederzeit löschen unter:
Einstellungen > Konto > Konto löschen
Bei der Löschung werden alle Daten unwiderruflich gelöscht:
- Profildaten, Benutzername und Profil-Privatsphäre-Einstellung
- Freundschaften und Spielhistorie
- Statistiken und Erfolge (inkl. erweiterte Supporter-Stats)
- Kosmetische Items und Freischaltungen
- RevenueCat-ID und Supporter-Status
- Push-Tokens und Sitzungsdaten
- Alle verknüpften Daten
Wichtig: Laufende Supporter-Abos müssen separat im jeweiligen Store gekündigt werden (derzeit Apple App Store). Die Kontolöschung kündigt Ihr Abo nicht automatisch.
8. Einwilligungen (Push, Analytics, Error Tracking)
Optionale Verarbeitungen (Push-Benachrichtigungen, Analytics und Error Tracking) erfolgen nur mit Ihrer Einwilligung.
Deaktivieren:
- iOS: Einstellungen > Mitteilungen > BrainFeed
- Android: Einstellungen > Apps > BrainFeed > Benachrichtigungen
- App: Einstellungen > Rechtliches > Tracking-Einwilligung
Ein Widerruf ist jederzeit mit Wirkung für die Zukunft möglich. Bei Tracking-Einstellungen wird die Änderung unmittelbar (ohne App-Neustart) wirksam.
Wir senden:
- Spielzug-Erinnerungen
- Herausforderungen von Freunden
- Neue Fakten (optional)
9. Datensicherheit
Wir schützen Ihre Daten durch folgende Maßnahmen:
- Verschlüsselte Übertragung (TLS/HTTPS)
- OAuth 2.0 / OpenID Connect
- Keine Passwort-Speicherung (nur SSO)
- Nonce-Validierung bei Apple Sign-In zur Verhinderung von Token-Replay-Angriffen
- Verschlüsselte Token-Speicherung (iOS Keychain / Android Keystore)
- JSONB Schema-Validierung für strukturierte Daten
- Rate Limiting und DDoS-Schutz
- Regelmäßige Sicherheitsupdates
- Zugriffskontrolle und Logging
- Automatische Datenlöschung
10. Keine Weitergabe
Wir verkaufen Ihre Daten nicht und geben sie nicht weiter, außer:
- An Auftragsverarbeiter (siehe Abschnitt 4)
- Bei gesetzlicher Verpflichtung
11. Minderjährige
BrainFeed richtet sich an Nutzer ab 13 Jahren.
Wenn Sie zwischen 13 und 15 Jahre alt sind, benötigen wir nach Art. 8 DSGVO für bestimmte Verarbeitungen die Einwilligung eines Erziehungsberechtigten.
Hinweis: Wir prüfen das Alter nicht aktiv. Wir löschen jedoch Daten von Nutzern, von denen wir Kenntnis erlangen, dass sie unter 16 Jahre alt sind und keine Einwilligung der Erziehungsberechtigten vorliegt.
12. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version ist stets in der App verfügbar.
13. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
Zuständig ist die Aufsichtsbehörde Ihres Bundeslandes oder am Sitz des Verantwortlichen.
Kontakt
Bei Fragen zum Datenschutz:
Maksym Turyk
E-Mail: maksymturyk@icloud.com
Zusammenfassung
BrainFeed folgt dem Prinzip der Datensparsamkeit:
Wir speichern NICHT:
- E-Mail-Adressen
- Passwörter
- Zahlungsdaten (Kreditkarten, Bankverbindungen)
- Keine Klartext-IP-Adressen als dauerhaftes Nutzerprofil
- Im App-Sicherheitskontext nur gekürzte IP-Hashwerte
- Benutzerdefinierte Profilbilder
- SSO-Provider-Avatare
- Detaillierte Device-Infos
- Swipe-Richtungen
Sie haben Kontrolle:
- Profil-Privatsphäre-Einstellung (friends_only/public/private)
- Jederzeit Kontolöschung möglich
- Widerruf von Einwilligungen (Push, Analytics, Error Tracking)
- Datenexport als JSON direkt in den Einstellungen verfügbar
Automatische Löschung:
- User-Interaktionen: nach 90 Tagen
- Feed-Events (Ranking-Signale): nach 90 Tagen
- Device-Tokens: nach 180 Tagen Inaktivität
- Refresh-Tokens: nach 30 Tagen
- Widerrufene Tokens: nach 7 Tagen
- Bug-, Fakt- und Fragen-Reports: nach 2 Jahren
Verschlüsselung:
- Tokens auf Ihrem Gerät (SecureStore)
- Alle Übertragungen (TLS/HTTPS)
Diese Datenschutzerklärung wird regelmäßig überprüft und bei rechtlichen oder technischen Änderungen aktualisiert.