Datenschutzerklärung

Stand: Juni 2026 · gemäß DSGVO, BDSG und TTDSG

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Nadine Rauch
Am Oberfeld 7
91799 Langenaltheim
E-Mail: datenschutz@familea.de

2. Welche Daten wir erheben

Beim Erstellen eines Kontos erheben wir folgende personenbezogene Daten:

• Pflichtangaben: Benutzername, Passwort (gehashed mit bcrypt, niemals im Klartext gespeichert)
• Optional: E-Mail-Adresse (für Passwort-Reset und Benachrichtigungen)

Bei der Nutzung der App entstehen folgende Nutzungsdaten:

• Von dir eingetragene Inhalte (Einkaufslisten, Rezepte, Todos, Notizen, Kalendereinträge etc.)
• Technische Verbindungsdaten (IP-Adresse, Browser-Kennung) in Server-Logs – automatisch nach 7 Tagen gelöscht
• Datum des letzten Logins und Zeitpunkt der letzten App-Nutzung (last_active) – für Kontoverwaltung und Inaktivitätserkennung; Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

In der App erheben wir keine: Tracking-Daten, Werbe-IDs, Standortdaten, Nutzungsprofile für Werbezwecke. Auf der Website (familea.de) setzen wir datenschutzfreundliche Besuchsstatistiken ein – ohne Cookies (siehe Abschnitt 10).

3. Zweck und Rechtsgrundlage der Verarbeitung

• Bereitstellung der App-Funktionen (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)
• Abwicklung von Zahlungen über Stripe (Art. 6 Abs. 1 lit. b DSGVO)
• Technische Sicherheit und Fehlerbehebung (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse)

4. Datenspeicherung und Hosting

Alle Daten werden ausschließlich auf Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) gespeichert. Hetzner ist als Auftragsverarbeiter mit uns vertraglich gebunden (AVV nach Art. 28 DSGVO). Deine Daten verlassen die Europäische Union nicht.

5. Zahlungsabwicklung (Stripe)

Premium-Abonnements werden über Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Dublin 2, Irland) abgewickelt. Zahlungsdaten (Kartennummern etc.) werden ausschließlich von Stripe verarbeitet – wir sehen diese Daten nicht. Stripe ist ebenfalls an einen AVV mit uns gebunden und handelt nach EU-Standardvertragsklauseln. Mehr unter: stripe.com/de/privacy

6a. Google-Kalender-Integration

Du kannst optional deinen Google-Kalender mit Familea verbinden. Hierfür nutzen wir die Google Calendar API mit dem OAuth 2.0-Verfahren.

Ablauf: Du wirst zur Einwilligung auf die Google-Anmeldeseite weitergeleitet. Erst nach deiner ausdrücklichen Zustimmung erhält Familea Zugriff auf deine Kalendereinträge.

Verarbeitete Daten: Titel, Datum, Uhrzeit und Beschreibung deiner Kalendereinträge. Diese Daten werden nicht bei uns gespeichert – sie werden bei jedem Aufruf direkt und live von der Google Calendar API abgerufen. In unserer Datenbank wird ausschließlich dein OAuth-Zugriffstoken gespeichert.

Zugriffsrechte (Scopes): calendar.readonly, calendar.events

Datenübermittlung: Beim OAuth-Flow und bei der Synchronisation werden Daten mit Google-Servern ausgetauscht. Google LLC sitzt in den USA; die Verarbeitung ist durch das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission) abgedeckt.

Verwendungszweck: Die Kalendereinträge werden ausschließlich dazu genutzt, sie im Familea-Kalender anzuzeigen und mit deinen Familea-Einträgen zu kombinieren. Sie werden nicht für Werbung, Profiling oder andere Zwecke verwendet und nicht an Dritte weitergegeben oder verkauft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Verbindung jederzeit in den App-Einstellungen trennen – dabei werden die gespeicherten Zugangs-Tokens gelöscht.

Datenschutzrichtlinie von Google: policies.google.com/privacy

6d. Anmeldung über Apple und Google (Social Login)

Du kannst dich optional über „Mit Apple anmelden“ oder Google bei Familea anmelden bzw. ein neues Konto erstellen.

Ablauf: Du authentifizierst dich bei Apple bzw. Google. Wir erhalten anschließend einen technischen Nachweis (Token), dass du dich erfolgreich angemeldet hast, und erstellen damit eine Familea-Session für dein Konto.

Verarbeitete Daten:

• Deine Apple-ID- oder Google-Konto-E-Mail-Adresse (bei Apple ggf. eine „Privat-Relay“-Adresse wie …@privaterelay.appleid.com)
• Optional: dein Name (nur wenn vom Anbieter übermittelt – bei Apple typischerweise nur beim allerersten Login)
• Technische Kennung deines Apple-/Google-Kontos (Provider-Subject), damit wir deinen Account wiedererkennen und Anmeldungen zuordnen können
• Zeitpunkt der Anmeldung sowie technische Sicherheitsdaten (z. B. IP/Logs)

Wichtig: Wir erhalten kein Passwort deines Apple-/Google-Kontos.

Speicherung: Wir speichern insbesondere die technische Provider-Kennung (zur Wiedererkennung) und einen E-Mail-Schnappschuss (falls vorhanden). Tokens werden nur zur Prüfung verwendet und nicht dauerhaft als „Login-Token“ gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Authentifizierung und Missbrauchsprävention).

Weitere Informationen: Apple Datenschutz: apple.com/legal/privacy, Google Datenschutz: policies.google.com/privacy

6b. iOS-Kalender-Integration (EventKit)

Auf iOS-Geräten kannst du optional Termine direkt in deinen nativen iOS-Kalender schreiben lassen. Hierfür verwendet Familea das Apple-Framework EventKit.

Berechtigung: Der Zugriff erfolgt nur nach deiner ausdrücklichen Zustimmung über den iOS-Berechtigungsdialog. Du kannst die Berechtigung jederzeit in den iOS-Einstellungen widerrufen.

Verarbeitete Daten: Titel, Datum, Uhrzeit und Ort von Terminen, die du explizit in den iOS-Kalender exportierst. Der Termin wird im nativen iOS-Kalender gespeichert und im Familea-Kalender angezeigt. Bestehende Kalendereinträge werden weder ausgelesen noch verändert.

Datenspeicherung: Die Daten werden nicht auf unserem Server gespeichert. Die Verarbeitung findet ausschließlich lokal auf deinem Gerät statt. Keine Weitergabe an Dritte, keine Nutzung für Werbung oder Profiling.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

6c. Share Extension (Inhalte teilen)

Die Familea-iOS-App enthält eine Share Extension ("Familea Teilen"), über die du Inhalte aus anderen Apps – wie URLs oder Texte – direkt in Familea speichern kannst.

Ablauf: Erst durch deine aktive Auswahl von "Familea Teilen" werden Inhalte übergeben. Ohne deine Aktion werden keine Daten verarbeitet.

Verarbeitete Daten: URL, Titel und Textinhalt der geteilten Seite.

Datenspeicherung: Der geteilte Inhalt wird auf dem Familea-Server (Hetzner, Deutschland) als Notiz, To-do oder Rezept gespeichert – je nach deiner Wahl. Keine Weitergabe an Dritte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6e. Wetter, Standortsuche & Fahrzeit (Reisepläne)

In der Familea-App (Reise-/Urlaubspläne, Wetter-Widget) können – nur wenn du die Funktion nutzt – Koordinaten oder Suchbegriffe (Ort, PLZ, Straße) an kostenlose Kartendienste übermittelt werden:

• Open-Meteo (open-meteo.com) – Wettervorhersage und Geocoding
• Bright Sky (brightsky.dev) – Wetterdaten DWD
• Nominatim / OpenStreetMap (nominatim.openstreetmap.org) – Adresssuche/Geocoding
• OSRM (router.project-osrm.org) – Fahrzeitberechnung (nur nach Klick „Fahrzeit berechnen“; Koordinaten von Abfahrt und Ziel)

Dabei wird deine IP-Adresse an die genannten Anbieter übermittelt. Ergebnisse (Wetter, Fahrzeit) werden am Plan bzw. im Haushalt gespeichert, damit nicht bei jedem Aufruf erneut angefragt wird. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Datenschutz OSM: osmfoundation.org/wiki/Privacy_Policy

7. Weitergabe an Dritte

Wir geben deine personenbezogenen Daten nicht an Dritte weiter, außer an folgende Auftragsverarbeiter und nur im notwendigen Umfang:

• Hetzner Online GmbH – Hosting und Auftragsverarbeitung (Art. 28 DSGVO)
• Stripe Payments Europe, Ltd. – Zahlungsabwicklung bei Premium-Abonnements
• Google LLC – nur bei aktiver Google-Kalender-Integration (deine Einwilligung)
• Apple Inc. / Google LLC – nur wenn du Social Login (Apple/Google) nutzt (Login/Account-Verknüpfung)
• Browser-Push-Dienste (Google FCM / Mozilla / Apple APNs) – nur bei aktivierten Push-Benachrichtigungen

Darüber hinaus geben wir Daten nur weiter, wenn wir gesetzlich dazu verpflichtet sind.

7a. Datenübermittlung in Drittländer

Grundsätzlich verarbeiten wir alle Daten in der EU. In folgenden Fällen kann eine Übermittlung in die USA erfolgen:

• Stripe: EU-US Data Privacy Framework (Angemessenheitsbeschluss) bzw. EU-Standardvertragsklauseln
• Google-Kalender: EU-US Data Privacy Framework (nur bei aktivierter Integration)
• Apple/Google Social Login: Datenübermittlung erfolgt im Rahmen der Anmeldung (abhängig vom Anbieter)
• Spracherkennung im Browser: abhängig vom Browser (Chrome → Google USA; Safari → Apple)
• Push-Benachrichtigungen: abhängig vom Browser/OS (z. B. Google FCM / Apple APNs)

In diesen Fällen stützen wir uns auf geeignete Garantien (insbesondere EU-US Data Privacy Framework oder EU-Standardvertragsklauseln), soweit erforderlich.

8. Push-Benachrichtigungen

Wenn du Push-Benachrichtigungen aktivierst, wird ein anonymer Geräteschlüssel (Push-Token) auf unseren Servern gespeichert und ausschließlich zur Zustellung von Benachrichtigungen genutzt. Push-Benachrichtigungen musst du in der App explizit aktivieren – sie werden nicht ohne deine Zustimmung gesendet.

Im Browser erfolgt die Übermittlung verschlüsselt (VAPID) über die Push-Dienste der Browser-Hersteller (Google FCM, Mozilla, Apple APNs).

In der nativen App (Android/iOS) setzen wir folgende Drittanbieter ein:

• Firebase Cloud Messaging (FCM) – Google LLC, Mountain View, CA, USA
  Datenschutz: firebase.google.com/terms/data-processing-terms
• Apple Push Notification Service (APNs) – Apple Inc., Cupertino, CA, USA
  Datenschutz: apple.com/legal/privacy

Die Datenübermittlung in die USA erfolgt auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Du kannst Push-Benachrichtigungen jederzeit in den App-Einstellungen oder in deinen Betriebssystem-Einstellungen deaktivieren. Dein Token wird dabei von unseren Servern gelöscht.

9. Cookies und Sitzungsdaten

Familea verwendet technisch notwendige Session-Cookies zum Aufrechterhalten deiner Anmeldung. Diese Cookies sind für den Betrieb der App erforderlich und werden ohne dein Einverständnis gesetzt (§ 25 Abs. 2 TTDSG). Es werden keine Tracking- oder Werbe-Cookies eingesetzt.

10. Website-Analytics (Umami)

Auf der Webseite familea.de setzen wir Umami Analytics ein – ein datenschutzfreundliches, selbst gehostetes Analysetool ohne Cookies. Umami erfasst Besuchsstatistiken wie aufgerufene Seiten, Herkunftsland, Browser-Typ und Gerätekategorie. Es werden keine Profile für Werbezwecke erstellt und keine Daten an Dritte weitergegeben.

• Anbieter: Umami, selbst gehostet auf Servern der Hetzner Online GmbH in Deutschland
• Erfasste Daten: Seitenaufrufe, verweisende Seite, Browser-Typ, Betriebssystem, Bildschirmauflösung; optional anonymisierte Performance-Kennwerte (Ladezeit, Seitenstabilität)
• Session Replay (optional): Bei aktivierter Funktion werden bei einem Teil der Besuche (derzeit ca. 15 %) Klicks, Scrollen und Seitenwechsel als Wiedergabe aufgezeichnet, um die Website zu verbessern. Auf familea.de gibt es keine Eingabefelder – es werden keine Formulareingaben erfasst. Aufzeichnungen werden auf unseren Servern gespeichert und nach spätestens 30 Tagen gelöscht.
• Keine Cookies: Umami benötigt keine Cookies und speichert keine Daten auf deinem Gerät
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nutzungsstatistiken zur Verbesserung der Website). Widerspruch jederzeit möglich (Art. 21 DSGVO, siehe Abschnitt 11).
• Hinweis: In der Familea-App wird kein Web-Analytics eingesetzt

11. Deine Rechte

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Was speichern wir von dir?
• Berichtigung (Art. 16 DSGVO): Fehlerhafte Daten korrigieren
• Löschung (Art. 17 DSGVO): Dein Konto und alle Daten löschen
• Einschränkung (Art. 18 DSGVO): Verarbeitung einschränken
• Widerspruch (Art. 21 DSGVO): Gegen Verarbeitung widersprechen
• Datenübertragbarkeit (Art. 20 DSGVO): Deine Daten exportieren

Anfragen an: datenschutz@familea.de
Wir antworten innerhalb von 30 Tagen.

Du hast außerdem das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen.

12. Datensicherheit

Alle Verbindungen zur App sind mit TLS/HTTPS verschlüsselt. Passwörter werden mit bcrypt gehasht und niemals im Klartext gespeichert. Zwei-Faktor-Authentifizierung (2FA) steht optional zur Verfügung.

13. Aufbewahrungsfristen

• Server-Logs: automatisch nach 7 Tagen gelöscht
• last_login / last_active: werden mit dem Konto gelöscht; keine eigenständige Aufbewahrung
• Google-Kalender-Token (OAuth): bis zur Trennung der Verbindung in den App-Einstellungen oder bis zur Konto-Löschung
• Kontodaten: bis zur Löschung des Kontos
• Rechnungsdaten (Stripe): 10 Jahre (gesetzliche Aufbewahrungspflicht)

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir angemeldete Nutzer per E-Mail.

Die vollständige Datenschutzerklärung findest du in der App unter Einstellungen → Rechtliches → Datenschutz.