BOXIA Datenschutzerklärung — DRAFT
⚠️ DRAFT-STATUS — diese Fassung ist ein technisch-strukturierter Erstentwurf auf Basis von DSGVO-Pflichtinhalten + Industry-Best-Practice (Apple, Stripe, Signal). Anwaltsreview vor Veröffentlichung ist Pflicht. Insbesondere folgende Items müssen vor Live-Schaltung geklärt werden:
- Verantwortlicher: Rechtsform + vollständige Adresse + Kontaktwege ([PLATZHALTER unten])
- Auftragsverarbeitungs-Verträge (AVV / DPA): mit Google (Firebase + Vertex AI) muss geprüft sein, dass GCP-Standardvertrag aktiv ist
- Drittlandübermittlungen: Vertex AI in
europe-west3(EU) ist datenschutzfreundlich, aber Apple Sign-In und ggf. Crashlytics involvieren US-Server → SCCs (Standardvertragsklauseln) prüfen- Sprache: Diese Fassung ist auf Deutsch. Englische Version sollte parallel angeboten werden für internationale User
- Hosting-URL: Final entscheiden ob
boxia.app/privacyoder SubpathStand: 2026-04-29 (Draft v1)
1. Wer ist verantwortlich
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO Art. 4 Nr. 7 ist:
[NAME / FIRMA HIER EINTRAGEN]
[STRASSE + HAUSNUMMER]
[PLZ ORT]
Deutschland
E-Mail: [KONTAKT-E-MAIL EINTRAGEN, z.B. privacy@boxia.app]
Bei Fragen zum Datenschutz oder zur Geltendmachung deiner Rechte (siehe §7) wende dich bitte an die oben genannte E-Mail-Adresse.
2. Was BOXIA macht — und warum wir Daten brauchen
BOXIA ist eine iOS-App, die Verkaufsautomaten (Snack-, Drink-, Kaffee-Automaten etc.) auf einer Karte zeigt, mit Echtzeit-Bestand und Foto-Eindrücken. Du kannst:
- Automaten in deiner Nähe finden
- Produkt-Barcodes scannen, um zu prüfen welcher Automat das Produkt führt
- Selber neue Automaten melden, mit Foto und Standort
- Bewertungen abgeben und Favoriten speichern
Damit das funktioniert, brauchen wir bestimmte Daten. Diese Erklärung sagt dir transparent, welche, wofür und auf welcher rechtlichen Grundlage.
3. Welche Daten wir verarbeiten
3.1 Kontodaten (Authentifizierung)
| Datentyp | Wann erhoben | Wofür |
|---|---|---|
| Pseudonymisierte User-ID (UID) | Bei jeder App-Nutzung | Eindeutige Zuordnung deiner Beiträge (Submissions, Favoriten, Bewertungen) zu deinem Account |
| E-Mail-Adresse (optional) | Wenn du dich per Email-Link registrierst | Anmeldung, Account-Wiederherstellung |
| Apple-ID-Hash (optional) | Wenn du Sign-in with Apple nutzt | Anmeldung ohne separates Passwort |
| Anonymes Token | Standardfall — du kannst BOXIA nutzen ohne Account | Lokale Persistenz (Favoriten, Hydration-Ziel) ohne Identitäts-Bindung |
Rechtsgrundlage: Art. 6 (1) (b) DSGVO (Vertragserfüllung — Bereitstellung des App-Services).
Hinweis zu Anonymous Auth: Wenn du BOXIA ohne Account nutzt, erhalten wir nur eine technische Pseudonymisierungs-ID (Firebase Anonymous-UID). Diese ist NICHT mit deiner Identität verknüpft. Beim späteren Sign-In kannst du deine bisherigen Favoriten/Beiträge zu einem Account migrieren.
3.2 Standortdaten
| Datentyp | Wann erhoben | Wofür |
|---|---|---|
| GPS-Koordinaten (präzise) | Nur „while-in-use" — wenn die App aktiv ist | Karte um deinen Standort zentrieren, nahegelegene Automaten anzeigen |
| Reverse-Geocoding-Ergebnis (Adresse) | Bei Submission eines neuen Automaten | Adresse für die Maschinen-Meldung vorschlagen |
Rechtsgrundlage: Art. 6 (1) (a) DSGVO (deine ausdrückliche Einwilligung) — du gewährst die Standort-Berechtigung in iOS via Standard-Permission-Dialog. Du kannst die Berechtigung jederzeit in den iOS-Einstellungen widerrufen.
Speicherdauer: Standort wird nicht persistent gespeichert. Wir verwenden ihn nur für die aktuelle Sitzung, um die Karte zu zentrieren und Maschinen in der Nähe abzufragen. Ausnahme: Bei einer Submission speichern wir die Maschinen-Standort-Koordinaten dauerhaft (gehört zur Submission-Beschreibung) — aber nicht deine Position zum Zeitpunkt der Submission.
3.3 Foto-Uploads
| Datentyp | Wann erhoben | Wofür |
|---|---|---|
| Fotos von Verkaufsautomaten | Wenn du selber einen Automaten meldest | Dokumentation des Automaten für andere User |
| Fotos von Produkten | Wenn du den Scanner nutzt | Optische Verifikation des gescannten Barcode-Inhalts |
Rechtsgrundlage: Art. 6 (1) (b) DSGVO (Vertragserfüllung — Submission-Service).
Wichtige Hinweise:
- Wir entfernen automatisch EXIF-Metadaten (insbesondere GPS-Koordinaten und Aufnahmezeit) aus deinen Fotos vor der Speicherung.
- Bevor du senden kannst, kannst du das Foto noch ändern oder verwerfen.
- Submissions durchlaufen einen Moderations-Prozess durch BOXIA-Staff vor Veröffentlichung.
3.4 KI-Foto-Analyse (Vertex AI Gemini 2.5 Flash)
Wenn du einen Automaten meldest, schicken wir dein Foto an Vertex AI Gemini 2.5 Flash (Google Cloud, Region europe-west3 in Frankfurt) zur automatischen Klassifikation.
Was die KI macht:
- Erkennt den Automaten-Typ (Snack/Drink/Kaffee/Combo/etc.)
- Schlägt erwartete Produkt-Kategorien vor
- Liest sichtbare Marken-Hinweise
Was die KI NICHT macht:
- Keine automatische Veröffentlichung. Die KI füllt nur dein Submission-Formular vor — du bestätigst manuell, was korrekt ist.
- Keine Personen-Erkennung. Wir verwerfen explizit Fotos auf denen Personen klar identifizierbar sind (siehe §4.5 KI-Pre-Filter).
- Keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO.
Wo die Daten verarbeitet werden:
- Vertex AI Gemini 2.5 Flash Service in der EU-Region
europe-west3(Frankfurt, Deutschland) - Die Foto-Daten verlassen die EU NICHT für die Analyse
- Nach der Analyse werden die Eingabe-Tokens (= dein Foto) gemäß Google's Vertex-AI-Data-Governance-Policy nicht für Modell-Training verwendet und nach 24 Stunden gelöscht
Rechtsgrundlage: Art. 6 (1) (b) DSGVO (Vertragserfüllung — Komfort-Funktion zur Submission-Vorbefüllung) + Art. 6 (1) (f) (berechtigtes Interesse — schnellere und korrektere Submissions).
Du kannst die KI-Analyse umgehen, indem du dein Submission-Formular manuell ausfüllst — die KI ist eine Komfort-Funktion, kein Pflicht-Element.
3.5 Beiträge (UGC — User Generated Content)
| Datentyp | Wann erhoben | Wofür |
|---|---|---|
| Maschinen-Submissions (Standort, Typ, Foto, Notizen) | Beim Melden eines neuen Automaten | Andere User profitieren von deinem Beitrag |
| Bewertungen (1-5 Sterne + optional Kommentar) | Beim Bewerten einer Maschine | Qualitäts-Signal für andere User |
| Favoriten (Maschinen-IDs) | Beim Markieren als Favorit | Schneller Zugriff auf deine Lieblings-Automaten |
Rechtsgrundlage: Art. 6 (1) (b) DSGVO (Vertragserfüllung).
Veröffentlichung: Submissions und Bewertungen werden nach Moderations-Prüfung allen anderen App-User:innen angezeigt. Dein Username erscheint nicht dabei — UGC ist anonymisiert sichtbar.
3.6 Technische Daten
| Datentyp | Wann erhoben | Wofür |
|---|---|---|
| App-Version, iOS-Version, Device-Modell | Bei jedem App-Start | Crash-Diagnose, Kompatibilitäts-Sicherung |
| Crash-Reports (Stack-Traces, anonymisiert) | Bei App-Crashes | Bug-Behebung |
| App-Check-Token | Bei jedem Backend-Call | Verhinderung von Bot-/Spam-Zugriffen, kein Personen-Bezug |
Rechtsgrundlage: Art. 6 (1) (f) DSGVO (berechtigtes Interesse — App-Stabilität und Bot-Schutz).
Crashlytics: Wir nutzen Firebase Crashlytics von Google. Crash-Reports sind anonymisiert und enthalten keine persönlichen Daten oder UGC.
4. Wer Zugriff hat — Empfänger der Daten
4.1 Google Firebase / Google Cloud (USA, EU-Hosting)
BOXIA nutzt Firebase als Backend-Plattform:
- Firebase Authentication — Account-Management (USA + EU-Hosting konfigurierbar)
- Cloud Firestore — Datenbank (Hosting in EU-Region
europe-west3) - Firebase Cloud Storage — Foto-Speicher (Hosting in EU-Region
europe-west3) - Cloud Functions — Backend-Logik (Hosting in EU-Region
europe-west3) - Firebase App Check — Bot-Schutz (USA-basiert, keine PII)
- Firebase Crashlytics — Crash-Reporting (USA-basiert, anonymisiert)
- Vertex AI — KI-Foto-Analyse (Hosting in EU-Region
europe-west3)
Auftragsverarbeitungs-Vertrag (AVV): Mit Google ist der GCP-Standard-AVV (Google Cloud Data Processing Addendum) abgeschlossen. Standardvertragsklauseln gemäß Art. 46 DSGVO sind aktiv für Drittland-Übermittlungen.
Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung).
4.2 Apple (USA)
Wenn du Sign-in with Apple nutzt, erhält Apple Informationen über dein Apple-ID-Login (Pseudonym, keine Email an uns wenn du „Hide my Email" aktivierst).
Rechtsgrundlage: Art. 6 (1) (a) DSGVO (deine Einwilligung beim Sign-in-Dialog). Apple's Datenschutz-Praxis: https://www.apple.com/legal/privacy/.
4.3 Keine Werbe-Tracker, kein Profiling
BOXIA enthält keine Werbe-Tracker, kein App Tracking Transparency (ATT) Framework, keine Drittanbieter-Analytics, keine Cookies und kein Cross-App-Profiling. Dein Verhalten in der App wird nicht für Marketing-Zwecke ausgewertet.
5. Wie lange wir deine Daten speichern
| Datentyp | Speicherdauer |
|---|---|
| Account-Daten (UID, Email) | Bis du dein Konto löschst |
| Standort | Nicht persistent (nur Sitzung) |
| Foto-Uploads (Submissions) | Bis du dein Konto löschst — danach siehe §6.3 zur UGC-Anonymisierung |
| KI-Analyse-Eingabe (Foto an Vertex AI) | Maximal 24 Stunden bei Google, dann automatische Löschung |
| Crash-Reports | 90 Tage (Firebase Crashlytics Default) |
| App-Check-Tokens | Sitzungs-Dauer (max. 1 Stunde) |
6. Account-Löschung
Du kannst jederzeit dein Konto löschen via Profil → Konto löschen. Dabei passiert Folgendes:
6.1 Was komplett gelöscht wird
- Dein Firebase-Auth-Eintrag (du kannst dich nicht mehr einloggen)
- Dein Profil-Datensatz (
/users/{uid}) - Alle deine privaten Subcollections (Hydration-Logs, Pending-Email-State)
- Alle deine Foto-Uploads in Storage unter
users/{uid}/ - Pending oder rejected Submissions (= Submissions die nicht öffentlich wurden)
6.2 Was als anonymisierter Beitrag erhalten bleibt
⚠️ Hinweis: Das gilt erst nach Implementierung der Anonymisierungs-Logik (siehe ADR-0018). Aktueller Stand: bei Account-Löschung werden ALLE Daten komplett gelöscht. Wenn die Anonymisierungs-Funktion nicht in der App implementiert wird, ist dieser Abschnitt zu streichen.
Approved Submissions (= bereits öffentlich auf der Map sichtbare Automaten-Meldungen) bleiben anonymisiert in der Datenbank:
- Die Verknüpfung zu deiner Identität wird gekappt (deine UID wird durch einen Sentinel-Wert
"deleted"ersetzt) - EXIF-Metadaten der Fotos werden komplett entfernt (waren bereits beim Upload geschehen)
- Inhaltlich bleibt der Beitrag (Standort, Typ, Foto) für andere User sichtbar
Warum: UGC-Beiträge die anderen User helfen (z.B. „Hier ist ein Automat") sollen nicht durch Account-Löschungen vernichtet werden — entspricht der Praxis von Google Maps, Yelp, Reddit, Wikipedia und TripAdvisor.
Rechtsgrundlage: Art. 17 (3) (d) DSGVO (Verarbeitung für im öffentlichen Interesse liegende Aufgaben — anonymisierte UGC-Aufbewahrung) + DSGVO Erwägungsgrund 26 (anonymisierte Daten fallen nicht unter den Schutzbereich).
6.3 Was vollständig gelöscht wird auf Wunsch
Wenn du auch deine approved Submissions vollständig gelöscht haben möchtest (nicht nur anonymisiert), kontaktiere uns bitte unter [KONTAKT-E-MAIL] mit einer entsprechenden Anfrage. Wir bearbeiten solche Anfragen innerhalb von 30 Tagen gemäß Art. 17 (1) DSGVO.
7. Deine Rechte
Du hast die folgenden DSGVO-Rechte gegenüber uns:
| Recht | Bedeutung | Wie wahrnehmen |
|---|---|---|
| Auskunft (Art. 15) | Welche Daten haben wir über dich gespeichert | Email an [KONTAKT-E-MAIL] mit Subject „Auskunftsersuchen" |
| Berichtigung (Art. 16) | Korrektur falscher Daten | Direkt in der App (Profil-Settings) oder via Email |
| Löschung (Art. 17) | „Recht auf Vergessenwerden" | In-App: Profil → Konto löschen. Bei Voll-Löschung inkl. UGC: Email-Anfrage |
| Einschränkung (Art. 18) | Sperrung der Verarbeitung | Email an [KONTAKT-E-MAIL] |
| Datenübertragbarkeit (Art. 20) | Export deiner Daten in maschinenlesbarem Format | Email-Anfrage. Wir liefern in 30 Tagen. |
| Widerspruch (Art. 21) | Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen | Email an [KONTAKT-E-MAIL] |
| Widerruf der Einwilligung | Wenn Verarbeitung auf Einwilligung beruht (Standort, Push-Notifications) | Direkt in iOS-Einstellungen → BOXIA → Permission widerrufen |
Antwortzeit: Wir bestätigen den Eingang innerhalb von 1 Woche und bearbeiten innerhalb von 30 Tagen (Art. 12 (3) DSGVO).
8. Beschwerderecht bei der Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist:
[ABHÄNGIG VON BUNDESLAND DES VERANTWORTLICHEN — z.B. für Berlin:]
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
Telefon: 030 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Eine vollständige Übersicht der deutschen Datenschutz-Aufsichtsbehörden findest du auf der Seite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI): https://www.bfdi.bund.de.
9. Sicherheit deiner Daten
Wir setzen technische und organisatorische Maßnahmen um, um deine Daten zu schützen:
- Verschlüsselung in Transit: Alle Verbindungen zu unseren Servern erfolgen über HTTPS (TLS 1.3)
- Verschlüsselung at Rest: Alle in Firebase / Google Cloud gespeicherten Daten sind serverseitig verschlüsselt (AES-256)
- App Check: Wir verifizieren die Authentizität der App-Calls über Apple App Attest, um Bot-Zugriffe zu unterbinden
- Security Rules: Firestore-Datenbank-Zugriffe sind durch deklarative Security Rules abgesichert — User können nur ihre eigenen Daten lesen/schreiben (außer bei explizit öffentlichen Inhalten wie approved Submissions)
- Cloud-Function-Audit: Sensitive Operationen (Account-Löschung, Inventory-Updates) laufen über Cloud Functions mit Audit-Trail
Trotz aller Sorgfalt ist das Internet kein 100% sicheres Medium. Bei Verdacht auf Account-Kompromittierung kontaktiere uns sofort.
10. Kinder und Jugendschutz
BOXIA richtet sich an Personen ab 16 Jahren (Art. 8 (1) DSGVO). Wenn du unter 16 bist, brauchst du die Einwilligung deiner Erziehungsberechtigten zur Nutzung. Wir prüfen das Alter nicht aktiv beim Account-Anlegen.
Falls wir Kenntnis erhalten, dass ein Account von einer Person unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten erstellt wurde, löschen wir den Account.
11. Push-Notifications (zukünftig, ab v1.1)
Aktuell sendet BOXIA keine Push-Notifications. In zukünftigen Versionen (v1.1 und später) können wir dir Push-Notifications senden zu:
- Bestands-Updates für Favoriten-Automaten („Dein Lieblings-Automat ist wieder befüllt")
- Status deiner eingereichten Submissions („Deine Meldung wurde bestätigt")
- Allgemeine BOXIA-News
Rechtsgrundlage: Art. 6 (1) (a) DSGVO (deine ausdrückliche Einwilligung über den iOS-Permission-Dialog).
Du kannst Push-Notifications jederzeit pro Kategorie in den App-Settings oder komplett in den iOS-Einstellungen abschalten.
12. Änderungen dieser Datenschutzerklärung
Wir können diese Erklärung anpassen, wenn sich Funktionen ändern oder rechtliche Anforderungen es verlangen.
- Geringfügige Änderungen (z.B. neue Empfänger-Adressen, Klarstellungen) treten ohne separate Benachrichtigung in Kraft, sind aber im Versions-Verlauf am Ende dieser Seite einsehbar
- Wesentliche Änderungen (neue Datenarten, neue Zwecke, neue Empfänger) werden dir vor In-Kraft-Treten in der App angezeigt — bei Bedarf bitten wir dich um neue Einwilligung
Aktueller Stand: 2026-04-29 (Draft v1)
13. Kontakt
Bei Fragen, Anliegen oder Datenschutz-Anfragen wende dich an:
[KONTAKT-E-MAIL EINTRAGEN — empfohlen: privacy@boxia.app oder support@boxia.app]
Wir antworten innerhalb von 1 Woche und bearbeiten Datenschutz-Anfragen gemäß DSGVO innerhalb von 30 Tagen.
Versions-Verlauf
| Version | Datum | Änderung |
|---|---|---|
| Draft v1 | 2026-04-29 | Initialer technisch-strukturierter Entwurf |
Anhang A — Hinweise an Anwalts-Reviewer
Folgende Punkte braucht professionelle juristische Prüfung:
- Verantwortlicher (§1): Vollständige Adresse, Rechtsform, Email — alles als Platzhalter, vom Verantwortlichen einzutragen
- Auftragsverarbeitungs-Vertrag (§4.1): Bestätigen dass GCP DPA + SCCs aktiv sind. Ggf. zusätzliche TIA (Transfer Impact Assessment) für USA-basierte Sub-Services
- §6.2 UGC-Anonymisierung: Aktuell noch NICHT in der App implementiert. ADR-0018 ist Roadmap-Stub, hard-blocked durch genau diese Privacy Policy. Wenn die Anonymisierungs-Funktion erst nach Public-Launch kommt, muss §6.2 vorerst ANDERS formuliert sein — nämlich „Bei Account-Löschung werden alle deine Daten komplett gelöscht inkl. UGC". Erst wenn die Anonymisierung implementiert ist, kann auf die jetzige Formulierung umgestellt werden — und dann braucht die Policy ein Versions-Update mit Notice an User
- §4.3 Werbe-Tracker: Bestätigen dass im finalen Build wirklich KEIN ATT-Framework und keine Werbe-SDKs sind — Apple-PrivacyInfo.xcprivacy als technische Quelle der Wahrheit
- §10 Kinder: 16 Jahre ist DSGVO-Default für Deutschland. Andere EU-Länder haben andere Untergrenzen (z.B. 13 in Dänemark) — falls App in mehreren Ländern angeboten wird, regional differenzieren oder konservative 16 für alle nutzen
- §11 Push-Notifications: Inhaltlich Roadmap (ADR-0017 noch unimplementiert). Vor dem ersten Push-Send muss die Policy aktualisiert + erneut User-Notice ausgespielt werden
- English-Version: Empfohlen vor Public-Launch (App ist in 9 Locales lokalisiert, eine deutsche Privacy-Policy-only ist suboptimal für nicht-deutschsprachige User)
- Hosting:
boxia.app/privacyals Final-URL prüfen (Apex-DNS noch nicht gehostet, siehe ARCHITECTURE.md §14) - Cookie-Banner: Nicht relevant für reine native iOS-App (keine Cookies). Wird relevant wenn Plattform/Portal kommt — dann separate Web-Privacy-Policy
Anhang B — Cross-Refs für Implementierung
- ADR-0018: UGC-Anonymisierung bei Account-Delete — referenziert in §6.2
- ADR-0017: Push-Notifications-Strategie — referenziert in §11
- Pre-Production-Activation-Checklist §5: Privacy Policy als Hard-Blocker für Public Launch
- Ultimate-Audit 2026-04-29 §3 P0.1: Privacy Policy als kritisches P0-Item