Rechtliches

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist: Dennis Gundermann · Lissi-Kaeser-Str. 7, 80797 München · drops-app.de Kontakt: contact@drops-app.de Bei Fragen zum Datenschutz kannst du uns jederzeit per E-Mail kontaktieren.

Je nach Nutzung verarbeiten wir folgende Daten: Konto & Authentifizierung • Sign in with Apple – Apple User ID, Nonce (SHA256-Hash), optional E-Mail, Authorization Code (zur späteren Token-Widerrufung bei Kontolöschung) • Handynummer (Pflichtangabe bei der Registrierung – damit dich deine Kontakte finden können) Profil • Name (frei wählbar) • Geburtsdatum (Selbstangabe, zur Altersprüfung ≥ 16) • Geschlecht (optional) • E-Mail (nur bei Sign in with Apple, falls freigegeben) • Profilbild (optional, auf Firebase Storage) • Zuverlässigkeits-Score (Anzahl bestätigter / nicht eingehaltener Treffen) Nutzung der App • Standortdaten (GPS, nur bei aktivem Drop – siehe Abschnitt 4) • Erstellte Drops (Koordinaten, Emoji, Aktivitätsname, Ablaufzeit) • Beitritte, Beitrittsanfragen, aufgezeichnete Begegnungen • Freundschaftsbeziehungen (reine Verknüpfung, keine Inhalte) Discovery-Indizes • Normalisierte Telefonnummer (E.164-Format) und E-Mail (normalisiert) als Suchindex, damit Freunde dich finden können Technik & Kommunikation • FCM-Token (für Push-Benachrichtigungen, nur lokal gespeichert) • Bluetooth-Proximity-Token (anonyme 8-Zeichen-Kennung, siehe Abschnitt 5) • Live-Activity-Daten (Name, Emoji, Profilbild, Teilnehmeranzahl – siehe Abschnitt 8) • Drops+ Kauf-Status (siehe Abschnitt 9) • Gerätetyp, Betriebssystem, App-Version Lokal (verlässt dein Gerät nicht) • BLE-Bestätigungshistorie (zur Missbrauchs-Vermeidung) • Push-Benachrichtigungs-Zeitstempel (zur Rate-Limitierung)

Wir verarbeiten deine Daten für folgende Zwecke: • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Authentifizierung, Kontoverwaltung, Drop-Erstellung, Karte, Begegnungen, Bluetooth-Proximity, Push-Benachrichtigungen, Drops+ • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Kontakt-Abgleich, Profilbild-Upload • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Moderation & Missbrauchs-Vermeidung (Admin-Panel, Sperren, Zuverlässigkeits-Score), Sicherheit der Plattform Einwilligungen kannst du jederzeit über die App-Einstellungen oder durch Kontolöschung widerrufen.

Drops erhebt deinen Standort nur, wenn mindestens eine dieser Bedingungen erfüllt ist: • Du hast einen aktiven Drop erstellt • Du bist einem Drop beigetreten Genauigkeit: GPS mit bester Auflösung (kCLLocationAccuracyBest). Auf der Karte für andere Nutzer wird der Standort durch den Drop-Radius maskiert. Hintergrund-Modus: Damit Drops auch im Hintergrund aktualisiert werden, läuft Location-Tracking weiter, solange ein Drop aktiv ist. Ohne aktiven Drop werden sofort keine Standortdaten mehr erhoben oder übertragen. Speicherung: Der aktuelle Standort wird live an die Firebase Realtime Database (EU-Region, Frankfurt) übertragen und bei Drop-Beendigung sofort gelöscht. Wir speichern keine historischen Bewegungsprofile.

Drops nutzt Bluetooth Low Energy (BLE), um tatsächliche Treffen zwischen Drop-Teilnehmern automatisch zu erkennen – ohne dass du manuell bestätigen musst. Was über Bluetooth übertragen wird: • Eine anonyme 8-Zeichen-Kennung (abgeleitet aus deiner internen Nutzer-ID, nicht deine Telefonnummer oder E-Mail) • Eine drop-spezifische Service-UUID • Keine Namen, keine Profilbilder, keine Standortdaten, keine MAC-Adressen Missbrauchs-Vermeidung (drei Schutzebenen): 1. Mindestdauer: Frühestens 5 Minuten nach Drop-Beitritt kann eine Begegnung registriert werden 2. Partner-Cooldown: Dieselbe Person wird maximal alle 6 Stunden bestätigt 3. Tages-Limit: Maximal 4 Bluetooth-Bestätigungen pro Tag Entfernung: Eine Begegnung wird nur registriert, wenn das Signal stärker als –72 dBm ist (ca. 5–10 Meter). Hintergrund-Modus: BLE läuft im Hintergrund, solange ein Drop aktiv ist. Ohne aktiven Drop wird Bluetooth nicht genutzt. Speicherung: Die BLE-Bestätigungshistorie (wann, wen) wird ausschließlich lokal auf deinem Gerät in den App-Einstellungen gespeichert und verlässt dein iPhone nicht. Nur das Ergebnis – die eigentliche Begegnung – wird in der Firebase Realtime Database als Verknüpfung zwischen den beiden Nutzer-IDs gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kernfunktion von Drops).

Wenn du die Funktion „Freunde finden" aktivierst, kannst du Drops dein Adressbuch durchsuchen lassen, um Kontakte zu entdecken, die ebenfalls Drops nutzen. Ablauf: • Telefonnummern werden zu E.164-Format normalisiert, E-Mails werden Kleinbuchstaben-normalisiert • Jede normalisierte Adresse wird mit dem Firebase-Discovery-Index verglichen • Bei Treffer wird dir der entsprechende Drops-Nutzer zur Freundschaftsanfrage angeboten Was NICHT gespeichert wird: Dein Adressbuch wird weder an unsere Server übertragen noch lokal dauerhaft kopiert. Nur die Übereinstimmungen, die du aktiv als Freund hinzufügst, werden gespeichert. Rechtsgrundlage: Ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Widerruf über iOS-Systemeinstellungen (Einstellungen → Drops → Kontakte).

Mit deiner Zustimmung senden wir Push-Benachrichtigungen über Apple Push Notification Service (APNs) und Firebase Cloud Messaging (FCM). Arten: • Drops in deiner Nähe (maximal 1× alle 30 Minuten) • Warnung bei Drops in deiner Heimzone (maximal 1× alle 60 Minuten) • Beitrittsanfragen zu deinem Drop • Automatische Bestätigung abgelaufener Beitrittsanfragen • Jemand ist deinem Drop beigetreten • Neue aufgezeichnete Begegnungen • Freund startet Drop in deiner Nähe • Re-Engagement-Hinweise bei längerer Inaktivität FCM-Token: Das Gerät-Token wird nur lokal in den App-Einstellungen gespeichert, nicht in der Datenbank. Du kannst Push jederzeit über iOS-Systemeinstellungen deaktivieren.

Sobald du einem Drop beitrittst oder einen startest, zeigt iOS im Dynamic Island und auf dem Sperrbildschirm eine Live-Übersicht. Angezeigte Daten: Drop-Name, Emoji, Teilnehmerzahl, Ablaufzeit, Vornamen und Profilbilder der Teilnehmer sowie deren voraussichtliche Ankunftszeit. Technisch: Die Live-Activity läuft über Apples ActivityKit lokal auf deinem Gerät. APNs wird nur als Trigger-Kanal für Aktualisierungen genutzt – keine Nutzerdaten werden an Apple übertragen.

Drops+ ist ein optionales kostenpflichtiges Zusatz-Feature (z. B. Drop-Hervorhebung auf der Karte). Zahlungsabwicklung: Der Kauf läuft ausschließlich über Apples App Store mit deiner Apple-ID. Wir erhalten keine Zahlungsdaten, keine Apple-ID und keine Kreditkarteninformationen. Was Drops speichert: Nur die Information, dass du Drops+ freigeschaltet hast (Flag isPlusUser: true in deinem Nutzerprofil). Dies ist nötig, um dir die Funktionen freizuschalten. Speicherdauer: Bis zur Kontolöschung. Rückerstattung über Apple.

Zur Sicherung der Plattform gegen Missbrauch existiert ein Admin-Bereich mit eingeschränktem Zugriff. Wer hat Zugriff: Ausschließlich der Betreiber (Dennis Gundermann) sowie ggf. manuell benannte Moderatoren. Was Admins einsehen können: • Nutzerliste mit Name, E-Mail, Registrierungsdatum, Sperr- und Drops+-Status • Aktive Drops (Aktivitätsname, Emoji) • Aggregierte Statistiken (Anzahl Nutzer, aktive Drops, Sperrungen) Was Admins tun können: Nutzer sperren/entsperren, Drops vorzeitig beenden, Accounts löschen (bei Verstößen), Drops+-Status manuell setzen. Rechtsgrundlage: Berechtigtes Interesse an einer sicheren Plattform (Art. 6 Abs. 1 lit. f DSGVO). Dein Anspruch auf Auskunft über konkrete Admin-Zugriffe auf dein Konto bleibt bestehen – Anfrage an contact@drops-app.de.

Google LLC / Google Ireland Ltd. • Firebase Authentication – Telefonnummer-/Apple-Sign-In-Verifizierung • Firebase Realtime Database (Region europe-west1, Frankfurt) – Live-Daten (Drops, Standort, Begegnungen) • Firebase Storage – Profilbilder • Firebase Firestore – Profilergänzungen (Zuverlässigkeits-Score, Profilbild-URL) • Firebase Cloud Messaging – Push-Zustellung Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert. Eine Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO ist abgeschlossen. Details: policies.google.com/privacy Apple Inc. • Sign in with Apple (optional, wenn du diese Anmeldemethode wählst) • Apple Push Notification Service (APNs) – Push-Zustellung • App Store / StoreKit – Drops+ Kaufabwicklung Details: apple.com/legal/privacy Keine weiteren Drittanbieter. Drops nutzt keine Werbe-SDKs, keine externen Analyse-Tools (z. B. Google Analytics, Firebase Analytics, Mixpanel, Facebook SDK) und kein Tracking für Marketingzwecke. In der iOS-Privacy-Erklärung ist Tracking: false deklariert.

• Kontodaten: Bis zur Kontolöschung • Profilbild: Bis zur Kontolöschung oder manuellem Entfernen • Drops: Bis zur Beendigung durch dich oder automatischem Ablauf • Beitritte/Anfragen: Automatisch mit Drop-Ende gelöscht • Standort: Live, sofortige Löschung nach Drop-Ende • Aufgezeichnete Begegnungen: Bis zur Kontolöschung (von dir oder deinem Partner) • Discovery-Indizes (Telefon/E-Mail): Bis zur Kontolöschung • BLE-Bestätigungshistorie (lokal): Tägliche Liste zurückgesetzt um Mitternacht; Partner-Cooldown bis App-Deinstallation • FCM-Token (lokal): Bis App-Deinstallation

Du hast das Recht auf: • Auskunft über gespeicherte Daten (Art. 15 DSGVO) • Berichtigung unrichtiger Daten (Art. 16 DSGVO) • Löschung deiner Daten (Art. 17 DSGVO) – direkt in der App möglich • Einschränkung der Verarbeitung (Art. 18 DSGVO) • Datenübertragbarkeit (Art. 20 DSGVO) • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) Zur Ausübung deiner Rechte: contact@drops-app.de Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach

• Alle Übertragungen erfolgen TLS-verschlüsselt • Firebase-Sicherheitsregeln stellen sicher, dass jeder Nutzer nur auf seine eigenen Daten schreibend zugreifen kann • Telefonnummern werden von Firebase gehasht gespeichert • Drop-Standorte sind nur über den vom Host definierten Sichtbarkeits-Radius zugänglich • Der Zuverlässigkeits-Score ist für andere Nutzer nicht sichtbar

Drops ist nicht für Personen unter 18 Jahren bestimmt. Bei der Registrierung wird das Geburtsdatum abgefragt und Accounts unter 18 werden blockiert. Falls du Kenntnis davon hast, dass eine minderjährige Person Drops nutzt, wende dich bitte an contact@drops-app.de.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um rechtliche oder technische Änderungen abzubilden. Bei wesentlichen Änderungen informieren wir dich per Push-Benachrichtigung oder beim nächsten App-Start. Maßgebend ist die jeweils aktuelle Version, die auf drops-app.de/datenschutz abrufbar ist. Das Datum der letzten Aktualisierung findest du oben.