Datenschutzerklärung


Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der App Sunshine Gratitude sowie für die Nutzung der zugehörigen Webseite und des dortigen Kontaktformulars / der Möglichkeit, uns per E-Mail zu kontaktieren. Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO ist:

Betreiber: Maximilian Otto

Anschrift: Striftstr. 3, 59555 Lippstadt

E-Mail: gratitude@maxot.de



1. Übersicht — welche Daten wir verarbeiten und warum


Wir verarbeiten — in Kurzform — folgende Datenarten und zu diesen Zwecken:


A. App-Funktionalität / Server-Verarbeitung

    •    Gespeicherte Meta-Daten: Kategorien-Titel, Entry-Titel und ggf. Zeitstempel, die von der App an unseren Backend-Server (Vapor auf Railway) gesendet werden.

Zweck: Erzeugung von Reflexionsfragen und Vorschlägen durch KI (OpenAI), Caching bereits generierter Antworten, Vermeidung doppelter Generierung.

Rechtsgrundlage: Erfüllung eines Vertrags / vorvertraglicher Maßnahmen bzw. berechtigtes Interesse (stabile Funktionalität, Optimierung, Performance).

Hinweis: Nutzer-eingetippte, von dir längerfristig verfasste Texte/Journal-Inhalte werden nicht an unseren Server übertragen (diese bleiben lokal bzw. in iCloud, siehe Abschnitt iCloud).


B. Nutzung von KI (OpenAI)

    •    Daten, die an die OpenAI API übermittelt werden (z. B. Kategorie-Titel, Entry-Titel, ggf. Teile des Prompts) werden zur Generierung von Fragen und Vorschlägen verwendet. Diese API-Requests werden durch unseren Server vermittelt. OpenAI kann Log-/Nutzungsdaten gemäß ihrer Richtlinien verarbeiten.

Rechtsgrundlage: berechtigtes Interesse / Erfüllung des Dienstes; wenn erforderlich, Einwilligung (z. B. bei Analysen oder falls besondere personenbezogene Daten übermittelt würden — s.u.).


C. Kontaktformular / E-Mail auf der Website

    •    Wenn du uns über das Formular oder per E-Mail kontaktierst, speichern wir die von dir übermittelten Kontaktdaten (Name, E-Mail-Adresse, Inhalt der Nachricht).

Zweck: Bearbeitung deiner Anfrage und Korrespondenz.

Rechtsgrundlage: Erfüllung einer Anfrage bzw. berechtigtes Interesse / Vertragserfüllung.


D. iCloud-Sync

    •    Wenn du in macOS mit einer Apple-ID angemeldet bist und iCloud-Sync aktiv ist, werden deine lokalen Einträge (Notizen/Texte, Metadaten) über iCloud synchronisiert. Daten in iCloud unterliegen Apples iCloud-Richtlinien. Manche iCloud-Daten sind end-to-end-verschlüsselt; andere werden verschlüsselt transit & at rest von Apple verwaltet.

Rechtsgrundlage: Vertragserfüllung / Nutzerwahl (opt-in-Funktionalität).


E. Log- und Betriebsdaten

    •    Server-Logs, Diagnose- und Fehlerdaten (z. B. zur Stabilität, Sicherheitsvorfälle).

Zweck: Betriebssicherheit, Missbrauchsabwehr, Fehlerbehebung.

Rechtsgrundlage: berechtigtes Interesse.



2. Empfänger / Dritte (Auftragsverarbeiter & Sub-Auftragsverarbeiter)


Für die oben genannten Zwecke geben wir personenbezogene Daten an folgende Dienstleister weiter:

    •    Railway (Hosting unseres Vapor-Backends). Railway ist unser Hosting-/Infrastruktur-Provider und stellt ggf. DPA/Vertrag zur Verfügung; dort werden Server-Logs und die von der App gesendeten Metadaten verarbeitet. Railway kann Rechenzentren in verschiedenen Ländern nutzen; wir schließen zur Einhaltung der DSGVO geeignete Vereinbarungen (DPA) ab.  

    •    OpenAI (API für KI-Generierung). Prompts/Metadaten werden an OpenAI übermittelt. OpenAI dokumentiert in seinen Richtlinien, wie API-Eingaben und Ausgaben behandelt und ggf. zeitlich gespeichert bzw. analysiert werden; als Betreiber solltest du dort gegebenenfalls Einstellungen für „no-retention/enterprise“ prüfen, wenn du besondere Anforderungen hast.  

    •    Apple / iCloud (wenn Nutzer iCloud-Sync verwendet): Apple ist Empfänger der synchronisierten Daten; iCloud-Speicherung unterliegt Apples Datenschutz- und Sicherheitsregelungen. Beachte, dass rechtliche Ausnahmeregelungen in bestimmten Ländern (z. B. fordernde Behörden) die Zugriffsbedingungen verändern können.  

    •    Weitere technische Sub-Dienstleister (z. B. E-Mail-Provider, Crash-Reporting) können zum Einsatz kommen — wir dokumentieren diese in einem internen Verzeichnis und schließen DSAs / DPA, soweit erforderlich.



3. Datenübermittlungen außerhalb des EWR


Einige der vorgenannten Dienstleister (z. B. Railway, OpenAI) können Serverstandorte außerhalb des Europäischen Wirtschaftsraums (EWR) nutzen. Für solche Übermittlungen stellen wir sicher, dass ein angemessenes Schutzniveau besteht (z. B. Standardvertragsklauseln, DPA, verbindliche Unternehmensregeln), oder wir verwenden Dienste/Optionen, die Datenresidenz in der EU anbieten. Details entnimmst du bitte den jeweiligen Anbieter-Verträgen und Datenschutzdokumenten.  



4. Speicherdauer / Aufbewahrung

    •    Kategorie- und Entry-Titel / KI-Cache auf Server: so lange, wie es für den Zweck (Caching zur Vermeidung mehrfacher Generierung, Performance) nötig ist; in der Regel max. [z. B. 12 Monate] — konkrete Aufbewahrungsfristen solltest du intern definieren und ggf. in einem separaten Verzeichnis nennen.

    •    Kontakt-E-Mails: solange zur Bearbeitung der Anfrage + gesetzliche Aufbewahrungspflichten (z. B. steuerrechtliche Aufbewahrung, falls relevant).

    •    Lokale App-Daten / iCloud: solange der Benutzer die Daten behält bzw. bis er sie löscht.

    •    Logs/Diagnosedaten: in der Regel zeitlich begrenzt (z. B. 30–90 Tage), außer bei sicherheitsrelevanten Vorfällen.


(Praktische Empfehlung: definiere konkrete Fristen in Monaten/Jahren in einer internen Richtlinie — das erhöht die DSGVO-Konformität.)



5. Deine Rechte (DSGVO)


Als betroffene Person stehen dir folgende Rechte zu:

    •    Auskunft über verarbeitete personenbezogene Daten (Art. 15 GDPR).  

    •    Berichtigung (Art. 16).

    •    Löschung („Recht auf Vergessenwerden“, Art. 17).

    •    Einschränkung der Verarbeitung (Art. 18).

    •    Datenübertragbarkeit (Art. 20).

    •    Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21).

    •    Widerruf erteilter Einwilligungen (Art. 7(3)) ohne Einfluss auf die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.

    •    Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77).


Wenn du eines dieser Rechte ausüben möchtest, schreibe an: [Daten-Kontakt / E-Mail einfügen]. Wir antworten in der Regel binnen eines Monats (sofern gesetzlich zulässig).



6. Sicherheit


Wir setzen technische und organisatorische Maßnahmen zur Sicherung deiner Daten ein (Transportverschlüsselung TLS für API-Requests, Zugriffskontrollen, sichere Speicherung, regelmäßige Updates). Trotzdem kann absolute Sicherheit im Internet nicht garantiert werden; wir dokumentieren Vorfälle und melden meldepflichtige Datenpannen gemäß DSGVO an die Aufsichtsbehörde und betroffene Personen, falls erforderlich.



7. Einsatz von KI — besondere Hinweise

    •    Für die Erzeugung von Fragen/Suggestions werden category/entry-Metadaten an unseren Server und die OpenAI API übermittelt. OpenAI kann diese Daten entsprechend seiner Datenrichtlinie kurzzeitig zur Missbrauchs-Erkennung speichern; prüfe ggf. die „no-retention“/Enterprise-Optionen, wenn du keine Speicherung durch OpenAI wünschst. Als Betreiber solltest du (1) diese Übermittlung im Vorfeld transparent machen und (2) bei Bedarf gesonderte Einwilligungen einholen, wenn sensible Personendaten verarbeitet werden.  



8. Kontaktformulare / E-Mail


Wenn du uns über die Website kontaktierst, speichern wir Name, E-Mail und Nachricht zur Bearbeitung; diese Daten werden auf unseren Servern / in unserem E-Mail-Postfach gespeichert und ggf. archiviert. Rechtsgrundlage ist die Bearbeitung der Anfrage bzw. berechtigtes Interesse.



9. Änderungen an dieser Datenschutzerklärung


Wir passen diese Datenschutzerklärung an, wenn sich Prozesse oder rechtliche Grundlagen ändern. Bei wesentlichen Änderungen informieren wir über die App/Website.



10. Ansprechpartner / Beschwerde


Kontakt Datenschutz:

[Name / E-Mail / ggf. DSB-Kontaktdaten einfügen]


Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren (z. B. bei der für deinen Wohnsitz zuständigen Datenschutzbehörde in Deutschland: Landesbehörde deines Bundeslandes).



Quellen / weiterführende Links (Auswahl)

    •    Verordnung (EU) 2016/679 (DSGVO) — offizieller Text.  

    •    European Data Protection Board — Leitlinien zur Transparenz / legitimen Interessen (aktuelle Leitlinien beachten).  

    •    OpenAI — Dokumentation zur Datenverwendung und API (Erläuterungen zur Speicherung von API-Eingaben/Ausgaben).  

    •    Railway — Privacy & Data Processing DPA / Hosting-Infos.  

    •    Apple — iCloud Daten-Sicherheit & Verschlüsselung; Hinweis auf Änderungen in einigen Ländern (z. B. UK-Fall 2025).