Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Udo Schluhmeier
Erlbacher Straße 35a
09355 Gersdorf
Telefon: 03720365893
E-Mail: info@radibaz.de
Steuernummer: 227/268/08965
USt-IdNr.: DE223362227
Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO bzw. § 38 BDSG nicht vorliegen.
2. Allgemeines zur Datenverarbeitung
RadiBaz ist eine hyperlokale, anonyme Kurznachrichten-App für Mobilgeräte (iOS und Android). Nutzerinnen und Nutzer können anonyme Kurzmeldungen (max. 280 Zeichen) mit optionalem Foto veröffentlichen, die nur für Personen im einstellbaren Umkreis (500 m bis 25 km) sichtbar sind und sich nach spätestens 24 Stunden automatisch löschen.
Die App wurde von Grund auf datenschutzfreundlich konzipiert. Es werden keine Klarnamen, keine E-Mail-Adressen und keine Telefonnummern erhoben. Es gibt kein Tracking, keine Werbenetzwerke und keine Analyse-SDKs von Drittanbietern.
Diese Datenschutzerklärung informiert darüber, welche Daten bei der Nutzung von RadiBaz verarbeitet werden, zu welchen Zwecken das geschieht und welche Rechte betroffene Personen haben.
Die App richtet sich ausschließlich an Personen ab 16 Jahren.
3. Technische Grundlagen und lokale Speicherung
3.1 Anonyme Session (Authentifizierung)
Damit die App funktioniert, wird beim ersten Start automatisch eine anonyme Session erstellt – ohne Registrierung, ohne E-Mail-Adresse, ohne Passwort. Dazu wird ein technisches Zufalls-Identifikator (Session-ID) erzeugt und sowohl lokal auf dem Gerät als auch serverseitig bei Supabase gespeichert.
| Aspekt | Details |
|---|---|
| Gespeichert auf dem Gerät | AsyncStorage (mobile) |
| Gespeichert auf dem Server | Supabase Auth (anonyme Benutzerkennung) |
| Zweck | Technisch notwendig für alle Grundfunktionen der App |
| Speicherdauer | Bis zur manuellen Löschung über „App-Daten löschen" |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
Ohne diese Session ist eine Nutzung der App nicht möglich. Das berechtigte Interesse liegt in der technisch notwendigen Unterscheidbarkeit von Anfragen, um Missbrauch zu verhindern und die Kerndienste bereitzustellen.
3.1a Altersbestätigung und Zustimmungsnachweis
Beim ersten Start der App erscheint ein Hinweis, dass RadiBaz nur für Personen ab 16 Jahren bestimmt ist. Durch Fortfahren bestätigt die nutzende Person, mindestens 16 Jahre alt zu sein, und stimmt den Nutzungsbedingungen sowie dieser Datenschutzerklärung zu.
| Aspekt | Details |
|---|---|
| Gespeicherte Daten | Zeitstempel der Zustimmung (consent_at) in der serverseitigen Nutzungsstatistik |
| Zweck | Nachweis der Einwilligung; Erfüllung der DSGVO-Nachweispflicht (Art. 7 Abs. 1 DSGVO) |
| Speicherdauer | Bis zur Löschung der Session |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) |
Eine technische Altersverifikation (z. B. Ausweiskontrolle) findet nicht statt. Die Sicherstellung des Mindestalters erfolgt über die deklaratorische Bestätigung durch die nutzende Person sowie die entsprechenden App-Store-Altersfreigaben.
3.2 Pseudonymer Anzeigename
Beim ersten Start wählen Nutzerinnen und Nutzer einen frei gewählten Anzeigenamen (2–15 Zeichen). Es handelt sich nicht um einen Klarnamen; eine Echtheitsprüfung findet nicht statt. Der Anzeigename wird mit der anonymen Session verknüpft und auf dem Server gespeichert.
| Aspekt | Details |
|---|---|
| Zweck | Erkennbarkeit im Feed; ermöglicht Zuordnung eigener Beiträge |
| Speicherdauer | Bis zur Löschung der Session |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
3.3 Recovery-Code (optional)
Wer den Anzeigenamen auf ein neues Gerät übertragen möchte, kann einen Recovery-Code generieren.
- Lokal: Der Klartext-Code wird im sicheren Gerätespeicher abgelegt (iOS/Android: SecureStore). Er verlässt das Gerät nur bei bewusster Eingabe durch die Nutzerin / den Nutzer.
- Serverseitig: Es wird ausschließlich ein SHA-256-Hash des Codes gespeichert – kein Klartext.
| Aspekt | Details |
|---|---|
| Zweck | Geräteübergreifende Wiederherstellung des Pseudonyms |
| Speicherdauer | Bis zur Löschung der Session oder bis zur manuellen Deaktivierung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
3.4 Kamera-Zugriff (QR-Code-Scanner)
Um einen Wiederherstellungscode von einem anderen Gerät komfortabel zu übertragen, kann die Kamera des Geräts genutzt werden. Die Kamera wird ausschließlich lokal auf dem Gerät zur Erkennung des QR-Codes verwendet. Es werden keine Bilder, Fotos oder Videodaten an den Server übertragen oder dauerhaft gespeichert. Der Zugriff erfordert die ausdrückliche Berechtigung durch die Nutzerin / den Nutzer über das Betriebssystem.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Geräteberechtigung).
3.5 Website (Landingpage) und Einladungslink (?ref=)
Die öffentliche Website unter radibaz.de (und ggf. weitere ausgewiesene Landingpages) kann ohne Anmeldung aufgerufen werden. Wird die Seite mit dem URL-Parameter ?ref= und einem gültigen 8-stelligen hexadezimalen Empfehlungscode geöffnet (wie im Empfehlungssystem, siehe Abschnitt 10a), legt ein kleines Skript im Browser-Speicher localStorage (Schlüssel radibaz_pending_referral_v1) eine Kopie dieses Codes ab. Es handelt sich nicht um ein klassisches HTTP-Cookie; der Code wird nicht automatisch mit jedem Seitenaufruf als Cookie an den Server gesendet.
| Aspekt | Details |
|---|---|
| Gespeicherte Daten | Der Empfehlungscode (8 Zeichen, nur Zeichen 0–9 und a–f) |
| Zweck | Übernahme des Codes, wenn die Nutzerin oder der Nutzer anschließend die RadiBaz-Web-App oder -App öffnet und die Zuordnung zur einladenden Session erfolgen soll (siehe Abschnitt 10a) |
| Speicherdauer | Bis zur erfolgreichen Verarbeitung in der App oder bis die Website-Daten / der localStorage-Eintrag im Browser gelöscht werden |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch einfachen Weitergabe des Empfehlungscodes im beschriebenen Rahmen; keine Werbe- oder Profilierungstechnik) |
Ohne den Parameter ?ref= oder bei ungültigem Code findet keine Speicherung statt.
4. Standortdaten
4.1 Standortabfrage beim Posten und Feed-Abruf
Um Posts im Umkreis anzuzeigen, muss die App den aktuellen Standort des Geräts kennen. Die Standortberechtigung wird vom Betriebssystem (iOS/Android) aktiv abgefragt und muss von der Nutzerin / dem Nutzer ausdrücklich erteilt werden.
- Beim Erstellen eines Posts: Die GPS-Koordinaten werden gemeinsam mit dem Post in der Datenbank gespeichert (PostGIS-Feld).
- Beim Abrufen des Feeds / der Kartenansicht: Das Gerät übermittelt den aktuellen Standort an den Server, der daraufhin nur Posts im gewählten Radius zurückliefert. Dieser Standort wird nicht dauerhaft gespeichert; er wird nur für die Filterabfrage verwendet.
- „Standort auf Karte ausblenden": Pro Post kann die Sichtbarkeit der Position auf der Karte deaktiviert werden. Die Koordinaten bleiben intern für die Radius-Filterung erhalten, werden aber anderen Nutzern nicht angezeigt.
| Aspekt | Details |
|---|---|
| Gespeicherte Daten | GPS-Koordinaten, gebunden an den jeweiligen Post |
| Zweck | Hyperlokale Filterung; Kartenansicht |
| Speicherdauer | Maximal 24 Stunden (automatische Löschung mit dem Post) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
Die Einwilligung kann jederzeit widerrufen werden, indem die Standortberechtigung in den Geräteeinstellungen entzogen wird. Ohne Standortberechtigung ist die App nur eingeschränkt nutzbar.
5. Beiträge (Posts) und Fotos
Jeder veröffentlichte Beitrag enthält:
- Textinhalt (max. 280 Zeichen)
- Pseudonymer Anzeigename
- Kategorie
- GPS-Koordinaten des Erstellungsorts
- Erstellungszeit und berechnete Ablaufzeit
Optional kann ein Foto hochgeladen werden. Dies erfordert – je nach Auswahl – die Freigabe des Zugriffs auf die Kamera oder die Fotomediathek des Geräts (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, Einwilligung). Fotos werden im Supabase-Speicherdienst (Bucket post-images) abgelegt.
| Aspekt | Details |
|---|---|
| Zweck | Bereitstellung des lokalen Kurznachrichtendienstes |
| Speicherdauer | Automatische Löschung 24 Stunden nach Veröffentlichung des Posts. Fotos werden gleichzeitig mit dem Post gelöscht. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
Hinweis: Nutzerinnen und Nutzer sind selbst dafür verantwortlich, keine personenbezogenen Daten Dritter (z. B. erkennbare Personen auf Fotos) ohne deren Einwilligung zu veröffentlichen.
6. Kommentare (Replies)
Textantworten auf Beiträge werden mit dem Pseudonym der verfassenden Person gespeichert.
| Aspekt | Details |
|---|---|
| Speicherdauer | Kommentare werden gemeinsam mit dem zugehörigen Post nach maximal 24 Stunden gelöscht. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
7. Bewertungen (Votes)
Nutzerinnen und Nutzer können pro fremdem Beitrag eine von drei Optionen setzen: hilfreich, nicht hilfreich oder Spam (pro Beitrag höchstens eine aktive Stimmabgabe; Änderung durch erneutes Tippen). Eigene Beiträge sind in der App nicht bewertbar. Die Stimme wird in der Datenbank gespeichert und ist intern mit der anonymen Benutzerkennung verknüpft, um Mehrfachabstimmungen zu verhindern. Anderen Nutzern ist die Zuordnung einer Stimme nicht sichtbar.
| Aspekt | Details |
|---|---|
| Zweck | Qualitätsbewertung und automatische Moderation |
| Speicherdauer | Bis zur Löschung des bewerteten Posts (maximal 24 Stunden) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
8. Meldungen (Reports)
Beiträge und Kommentare können gemeldet werden. Eine Meldung enthält den Grund der Beanstandung sowie einen internen Verweis auf den gemeldeten Inhalt. Bei ausreichend Meldungen wird ein Beitrag automatisch ausgeblendet.
| Aspekt | Details |
|---|---|
| Zweck | Inhaltsmoderation; Schutz vor missbräuchlichen Inhalten |
| Speicherdauer | Bis zur Löschung des gemeldeten Posts; Meldedaten können für Moderationszwecke kurzzeitig darüber hinaus vorgehalten werden |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
9. Geblockte Nutzer
Nutzerinnen und Nutzer können andere Nutzerprofile (Pseudonyme) lokal blockieren. Die Blockliste wird auf dem Gerät gespeichert und mit dem Server synchronisiert, damit gesperrte Inhalte konsistent gefiltert werden.
| Aspekt | Details |
|---|---|
| Zweck | Schutz vor unerwünschten Inhalten; Nutzungskomfort |
| Speicherdauer | Bis zur manuellen Aufhebung oder Löschung der Session |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
10. Statistiken und Aktivitätspunkte
Serverseitig werden Aktivitätspunkte und einfache Nutzungsstatistiken (z. B. Anzahl veröffentlichter Posts, erhaltene Bewertungen) pro anonymer Session gespeichert. Diese Daten lassen sich außerhalb der App nicht einer natürlichen Person zuordnen.
| Aspekt | Details |
|---|---|
| Zweck | Spielerisches Feedback; Anreize zur Nutzung |
| Speicherdauer | Bis zur Löschung der Session |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
10a. Empfehlungssystem (Referral)
Die App kann ein optionales Empfehlungssystem enthalten, mit dem Nutzerinnen und Nutzer andere Personen zur Nutzung von RadiBaz einladen können. Dabei wird ein individueller Empfehlungscode pro anonymer Session erzeugt und serverseitig gespeichert. Wird der Code von einer anderen Person eingelöst, wird die Zuordnung (einladende Session → eingeladene Session) in der Datenbank gespeichert.
| Aspekt | Details |
|---|---|
| Gespeicherte Daten | Empfehlungscode, Zuordnung einladende/eingeladene Session |
| Zweck | Wachstum der Nutzerbasis; spielerische Anreize |
| Speicherdauer | Bis zur Löschung der beteiligten Sessions |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
Die Empfehlungscodes enthalten keine personenbezogenen Informationen und sind ausschließlich mit der anonymen Session verknüpft. Das Feature kann vom Betreiber per Konfiguration aktiviert oder deaktiviert werden.
Wird ein Einladungslink mit ?ref= über die Website geteilt, gilt ergänzend Abschnitt 3.5 (localStorage im Browser).
10b. Push-Benachrichtigungen (optional)
Push-Benachrichtigungen sind in RadiBaz vollständig optional und standardmäßig deaktiviert. Die Verarbeitung beginnt erst, nachdem eine ausdrückliche Einwilligung erteilt wurde.
Einwilligungsprozess (zweistufig):
Beim ersten App-Start nach Einführung des Features zeigt RadiBaz einen In-App-Dialog an, der transparent beschreibt, welche Arten von Mitteilungen möglich sind (Reaktionen auf eigene Beiträge, eingelöste Einladungen, beliebte Beiträge in der Nähe). Erst wenn der Nutzer dort aktiv „Erlauben" wählt, erscheint anschließend die Systemabfrage des Betriebssystems (iOS/Android) für die Geräteberechtigung.
- „Erlauben" + Systemberechtigung erteilt: Alle drei Benachrichtigungsarten werden aktiviert; ein Push-Token wird serverseitig gespeichert.
- „Nein danke" oder Systemberechtigung verweigert: Alle Benachrichtigungsarten bleiben deaktiviert; es werden keine Push-Daten gespeichert.
Die einzelnen Arten können jederzeit unabhängig voneinander unter Profil → Benachrichtigungen angepasst oder vollständig deaktiviert werden.
10b.1 Push-Token und Gerätekennung
Nach erteilter Einwilligung und Systemberechtigung wird ein Expo-Push-Token (eindeutige Kennung des Geräts für den Expo-Push-Dienst) zusammen mit einer technischen Installationskennung (device_id, automatisch beim ersten Einrichten von Mitteilungen auf dem Gerät erzeugt und lokal gespeichert) und der Plattformangabe (iOS oder Android) serverseitig gespeichert.
| Aspekt | Details |
|---|---|
| Gespeicherte Daten | Expo-Push-Token, Installationskennung (device_id), Plattform (iOS/Android) |
| Zweck | Technische Zustellung von Push-Benachrichtigungen |
| Speicherdauer | Bis zur Löschung der Session (ON DELETE CASCADE). Das Token bleibt auch nach Deaktivierung einzelner Mitteilungsarten serverseitig gespeichert, damit bei erneuter Aktivierung kein neuer Systemdialog erforderlich ist. Eine vollständige Löschung erfolgt mit der Session oder auf Anfrage (siehe Abschnitt Löschung). |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den In-App-Dialog und die anschließende Geräteberechtigung) |
Die Installationskennung (device_id) ist kein Klarname und keine E-Mail-Adresse, kann aber grundsätzlich eine konkrete App-Installation identifizieren und gilt daher als personenbezogenes Datum.
10b.2 Push-Einstellungen (Präferenzen)
Die aktivierten Benachrichtigungsarten (Reaktionen, Empfehlungsscans, Umkreis-Ereignisse) werden als Präferenz-Zeile pro Session gespeichert. Ohne Einwilligung sind alle drei Arten standardmäßig auf „aus" gesetzt. Nach erteilter Einwilligung und gewährter Systemberechtigung werden alle drei aktiviert; anschließend kann jede Art einzeln unter Profil angepasst werden. Die Einwilligung kann jederzeit durch Deaktivierung aller Arten oder über die Systemeinstellungen des Geräts widerrufen werden.
| Aspekt | Details |
|---|---|
| Zweck | Steuerung, welche Benachrichtigungsarten ausgeliefert werden |
| Speicherdauer | Bis zur Löschung der Session |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
10b.3 Standort für Umkreis-Benachrichtigungen
Für die Benachrichtigung über Beiträge in der Nähe (Umkreis-Ereignisse) wird der zuletzt bekannte Standort und der gewählte Benachrichtigungs-Radius dauerhaft (bis zur Deaktivierung dieser Funktion) gespeichert.
| Aspekt | Details |
|---|---|
| Gespeicherte Daten | GPS-Koordinaten (PostGIS), Radius in Metern |
| Zweck | Erkennen relevanter Ereignisse im eingestellten Umkreis für Push-Versand |
| Speicherdauer | Bis zur Deaktivierung der Umkreis-Benachrichtigungen oder Löschung der Session |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den In-App-Dialog sowie die Standortberechtigung des Geräts) |
Die Einwilligung kann jederzeit widerrufen werden, indem Umkreis-Benachrichtigungen unter Profil → Benachrichtigungen deaktiviert werden.
10b.4 Versandprotokoll und Rate-Limiting
Zur Vermeidung von Benachrichtigungs-Spam werden pro Nutzer und Benachrichtigungstyp technische Zeitstempel (stundengenaue Buckets) gespeichert, die sicherstellen, dass dieselbe Art von Benachrichtigung nicht öfter als einmal pro Stunde verschickt wird.
| Aspekt | Details |
|---|---|
| Zweck | Technischer Spam-Schutz; Begrenzung der Benachrichtigungsfrequenz |
| Speicherdauer | 7 Tage (automatische Löschung durch täglichen Cron-Job) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
10b.5 Übermittlung über Push-Infrastruktur
Beim Versand von Push-Benachrichtigungen wird der Token und der Benachrichtigungsinhalt an folgende Infrastruktur-Anbieter weitergeleitet:
| Anbieter | Rolle | Datenschutzinformationen |
|---|---|---|
| Expo Technology Inc. (USA) | Push-Dienst (Expo Push API) | https://expo.dev/privacy |
| Apple Inc. (USA) | Apple Push Notification Service (APNS) – für iOS-Geräte | https://www.apple.com/legal/privacy |
| Google LLC (USA) | Firebase Cloud Messaging (FCM) – für Android-Geräte | https://policies.google.com/privacy |
Diese Anbieter erhalten den Push-Token und den Benachrichtigungstext, um die Nachricht zustellen zu können. Es werden keine weiteren personenbezogenen Daten (keine Session-ID, kein Anzeigename, keine Standortdaten) an diese Dienste übermittelt. Die Übermittlung in die USA ist durch Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
11. Kein Tracking, keine Werbung, keine Analyse-Dienste
RadiBaz enthält keine Tracking-SDKs, keine Werbenetzwerke und keine Analyse-Dienste von Drittanbietern. Es werden insbesondere folgende Dienste nicht verwendet:
- Google Analytics / Firebase Analytics
- Facebook SDK / Meta Pixel
- AppsFlyer, Adjust oder vergleichbare Attribution-Dienste
- Sentry oder vergleichbare Fehlererfassungsdienste mit Nutzeridentifikation
Es findet kein gerätübergreifendes Tracking im Sinne des App Tracking Transparency (ATT)-Frameworks von Apple statt. Die Werbe-Identifier (IDFA auf iOS, Advertising-ID auf Android) werden von RadiBaz weder erhoben noch ausgelesen. Eine ATT-Abfrage (NSUserTrackingUsageDescription) ist daher bewusst nicht vorgesehen.
12. Lokale Speicherung (Cookies und ähnliche Technologien)
RadiBaz setzt keine klassischen HTTP-Tracking-Cookies für Werbe- oder Analysezwecke ein. Die App und die Website nutzen jedoch geräteseitige Speichermechanismen:
| Speicher | Plattform | Inhalt |
|---|---|---|
| AsyncStorage | iOS / Android | Session-ID (anonyme Authentifizierung) |
| SecureStore | iOS / Android | Recovery-Code (verschlüsselt) |
| localStorage | Web (Browser), Website radibaz.de | optional: aus ?ref= übernommener Empfehlungscode (Schlüssel radibaz_pending_referral_v1, siehe Abschnitt 3.5) |
| localStorage / SecureStore | Web-App / App | wie in den vorstehenden Abschnitten beschrieben (Session, Referral-Puffer, Einstellungen) |
Die genannten Speicher dienen dem Betrieb der App bzw. der beschriebenen Empfehlungsfunktion; es werden keine Werbenetzwerke eingesetzt und keine Nutzerprofile zu Marketingzwecken erstellt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse); für technisch unbedingt erforderliche Speicher § 25 Abs. 2 Nr. 2 TDDDG (soweit einschlägig). Einzelheiten zu ?ref= und localStorage: Abschnitt 3.5.
13. Auftragsverarbeitung – Dienstleister
13.1 Supabase Inc.
Für Datenbankdienste (PostgreSQL), Authentifizierung und Dateispeicherung wird Supabase Inc. als Auftragsverarbeiter eingesetzt.
- Sitz: San Francisco, USA
- Hosting-Region: EU-West / Frankfurt (AWS eu-central-1) – die Daten werden innerhalb der Europäischen Union gespeichert
- DSGVO-Konformität: Supabase stellt Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO bereit
- Datenschutzinformationen von Supabase: https://supabase.com/privacy
Ein Auftragsverarbeitungsvertrag (AVV/DPA) gemäß Art. 28 DSGVO ist mit Supabase Inc. abgeschlossen. Supabase stellt das DPA über das Dashboard bereit (Settings → Legal → Data Processing Agreement).
13.2 Expo Technology Inc.
Expo (Expo Technology Inc., USA) wird in zwei Rollen eingesetzt:
- Build- und Verteilungsdienst (EAS): Für die Erstellung und Auslieferung der App-Binaries. Bei diesem Prozess werden keine Nutzerdaten der App-Endnutzer verarbeitet.
- Push-Benachrichtigungsdienst (Expo Push API): Beim Versand von Push-Benachrichtigungen werden Expo-Push-Token und Benachrichtigungsinhalte über die Expo-Push-API geleitet, bevor sie an Apple APNS (iOS) oder Google FCM (Android) weitergereicht werden. Dieser Dienst verarbeitet personenbezogene Daten (Token, Nachrichteninhalt).
- Sitz: USA
- DSGVO-Absicherung: Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
- Datenschutzinformationen: https://expo.dev/privacy
13.3 Kartendienste (Tile-Server)
Die App zeigt eine interaktive Karte an. Dabei werden Kartenkacheln (Tiles) von Drittanbietern geladen; das Gerät stellt dazu eine direkte Verbindung zum jeweiligen Server her, wobei die IP-Adresse des Geräts übermittelt wird.
| Plattform | Dienst / Anbieter | Zweck / Datenschutzinformationen |
|---|---|---|
| Android | Google Maps (über react-native-maps) | Kartenkacheln; https://policies.google.com/privacy |
| iOS | Apple Maps (über react-native-maps) | Kartenkacheln; https://www.apple.com/legal/privacy |
Es werden ausschließlich Kartenkacheln abgerufen; die App überträgt keine Nutzerkonten, Suchbegriffe oder Standortverläufe an diese Drittanbieter. Die Anbieter erhalten lediglich die IP-Adresse und die angeforderten Kachelkoordinaten (aus denen sich der ungefähre Kartenausschnitt ableiten lässt).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der funktionalen Bereitstellung der App und der Darstellung einer interaktiven Karte).
13.4 Apple App Store / Google Play Store
Die Verbreitung der App erfolgt über den Apple App Store (Apple Inc.) und den Google Play Store (Google LLC). Beim Download und der Installation der App gelten die jeweiligen Datenschutzbestimmungen der Store-Betreiber. Diese Verarbeitung liegt außerhalb des Einflussbereichs des Verantwortlichen.
Die vom Anbieter innerhalb der App verarbeiteten Daten werden den Stores gegenüber in den jeweiligen Store-Formularen offengelegt (App Privacy Details bei Apple, Data Safety Form bei Google Play). Die dort gemachten Angaben sind konsistent mit dieser Datenschutzerklärung.
14. Datensicherheit
Alle Verbindungen zwischen App und Server sind durch TLS/HTTPS verschlüsselt. Der Datenbankzugriff ist durch Row-Level Security (RLS) auf Supabase-Ebene abgesichert. Recovery-Codes werden ausschließlich als SHA-256-Hash gespeichert; der Klartext wird nie serverseitig gehalten.
15. Minderjährigenschutz
Die App richtet sich ausschließlich an Personen ab 16 Jahren. Beim ersten Start der App wird eine Altersbestätigung eingeholt. Daten von Personen unter 16 Jahren werden nicht wissentlich verarbeitet. Sollte bekannt werden, dass eine Person unter 16 Jahren die App genutzt hat, werden die zugehörigen Daten unverzüglich gelöscht.
16. Rechte der betroffenen Personen
Gemäß der DSGVO stehen betroffenen Personen folgende Rechte zu:
16.1 Auskunftsrecht (Art. 15 DSGVO)
Nutzerinnen und Nutzer können Auskunft über die zu ihrer anonymen Session gespeicherten Daten verlangen. Da keine E-Mail-Adresse oder kein Klarname hinterlegt ist, ist eine Identifizierung über den Support nur möglich, wenn die interne Benutzerkennung (Session-ID) mitgeteilt wird.
16.2 Recht auf Berichtigung (Art. 16 DSGVO)
Unrichtige personenbezogene Daten können jederzeit berichtigt werden – innerhalb der App über die Profileinstellungen.
16.3 Recht auf Löschung (Art. 17 DSGVO)
a) Direkt in der App: Die lokalen App-Daten können jederzeit mit einem Tipp in der App gelöscht werden:
Profil → „Lokale Daten löschen & abmelden"
Dieser Vorgang löscht unmittelbar:
- die lokale Session (AsyncStorage / localStorage)
- den lokalen Recovery-Code (SecureStore / localStorage)
- einen ggf. zwischengespeicherten Empfehlungscode aus der Website (
radibaz_pending_referral_v1in localStorage, siehe Abschnitt 3.5) - die lokale Blockliste sowie sonstige lokale Einstellungen (Theme, Radius)
Durch das Abmelden wird die Verknüpfung zwischen dem Gerät und der bisherigen anonymen Session aufgehoben. Beim nächsten Start wird automatisch eine neue anonyme Session erzeugt.
b) Automatische Inhalts-Löschung: Veröffentlichte Beiträge (Posts, Kommentare, Votes) werden unabhängig davon spätestens nach 24 Stunden automatisch und unwiederbringlich gelöscht.
c) Vollständige serverseitige Löschung auf Anfrage: Verbleibende serverseitige Stammdaten der anonymen Session (Anzeigename, Statistiken, Empfehlungscode, optionaler Push-Token, Zustimmungs-Timestamp) werden auf formlose Anfrage an info@radibaz.de innerhalb von 30 Tagen vollständig gelöscht. Zur Zuordnung bitten wir um Mitteilung der internen Session-ID (anzeigbar in der App unter Profil → Wiederherstellungscode, sofern aktiviert) oder um eine kurze Beschreibung des zu löschenden Pseudonyms. Ohne lokal aktive Session sind diese Daten rein technisch nicht mehr einer natürlichen Person zuordenbar, werden aber auf Wunsch dennoch entfernt.
Bei einem Antrag auf vollständige Löschung werden zugehörige Datensätze in folgenden Tabellen/Speichern entfernt bzw. anonymisiert: user_stats (Anzeigename, Punkte, Zustimmungs-Timestamp), referrals, push_tokens / push_preferences, gemeldete oder abgestimmte Beiträge (soweit noch nicht automatisch abgelaufen) sowie ggf. Einträge im Supabase-Auth-Verzeichnis (anonymer User-Eintrag).
16.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Das Recht auf Einschränkung kann durch Kontaktaufnahme mit dem Verantwortlichen geltend gemacht werden (siehe Abschnitt 17).
16.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Aufgrund der vollständigen Anonymität, der Kurzlebigkeit der Daten (max. 24 h) und des Fehlens eines Nutzerkontos im herkömmlichen Sinne ist dieses Recht nur eingeschränkt praktizierbar. Auf Anfrage können die zu einer Session gespeicherten Daten in einem strukturierten Format bereitgestellt werden.
16.6 Widerspruchsrecht (Art. 21 DSGVO)
Gegen die Verarbeitung auf Basis berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) kann jederzeit Widerspruch eingelegt werden. In diesem Fall werden die betreffenden Daten nicht mehr verarbeitet, sofern keine zwingenden schutzwürdigen Gründe entgegenstehen.
16.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Die Einwilligung zur Standortnutzung kann jederzeit widerrufen werden, indem die entsprechende Berechtigung in den Geräteeinstellungen entzogen wird. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
16.8 Beschwerderecht (Art. 77 DSGVO)
Betroffene Personen haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde für den Verantwortlichen ist:
Sächsischer Datenschutzbeauftragter
Devrientstraße 5
01067 Dresden
https://www.saechsdsb.de
17. Kontakt für Datenschutzanfragen
Für Fragen zum Datenschutz sowie zur Geltendmachung der oben genannten Rechte wenden Sie sich bitte an:
Udo Schluhmeier
Erlbacher Straße 35a
09355 Gersdorf
Telefon: 03720365893
E-Mail: info@radibaz.de
Da die App vollständig anonym betrieben wird (keine E-Mail-Registrierung), bitten wir bei Anfragen zur eigenen Session um Angabe der internen Session-ID. Diese kann in der App unter Profil → Wiederherstellungscode anhand des dort angezeigten Codes identifiziert werden.
18. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung kann bei technischen oder rechtlichen Änderungen aktualisiert werden. Die jeweils aktuelle Fassung ist in der App und auf der App-Webseite abrufbar. Bei wesentlichen Änderungen werden Nutzerinnen und Nutzer beim nächsten App-Start informiert.
Stand: April 2026