BOXIA Datenschutzerklärung
Stand: 2026-05-13
Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten BOXIA erhebt, wofür sie verarbeitet werden und welche Rechte Du hast. Sie folgt den Vorgaben der DSGVO sowie den Best-Practices von Apple, Stripe und Signal. Die Erklärung wird laufend an neue Funktionen und gesetzliche Anforderungen angepasst — siehe Versions-Verlauf am Ende.
1. Wer ist verantwortlich
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO Art. 4 Nr. 7 ist:
Enes Saribal
Boxia
Domagkstr. 16
51063 Köln
Deutschland
E-Mail: info@boxia.app
Bei Fragen zum Datenschutz oder zur Geltendmachung deiner Rechte (siehe §7) wende Dich bitte an die oben genannte E-Mail-Adresse.
2. Was BOXIA macht — und warum wir Daten brauchen
BOXIA ist eine iOS-App, die Verkaufsautomaten (Snack-, Drink-, Kaffee-Automaten etc.) auf einer Karte zeigt, mit Echtzeit-Bestand und Foto-Eindrücken. Du kannst:
- Automaten in deiner Nähe finden
- Produkt-Barcodes scannen, um zu prüfen welcher Automat das Produkt führt
- Selber neue Automaten melden, mit Foto und Standort
- Bewertungen abgeben und Favoriten speichern
Damit das funktioniert, brauchen wir bestimmte Daten. Diese Erklärung sagt dir transparent, welche, wofür und auf welcher rechtlichen Grundlage.
3. Welche Daten wir verarbeiten
3.1 Kontodaten (Authentifizierung)
| Datentyp | Wann erhoben | Wofür |
|---|---|---|
| Pseudonymisierte User-ID (UID) | Bei jeder App-Nutzung | Eindeutige Zuordnung deiner Beiträge (Submissions, Favoriten, Bewertungen) zu deinem Account |
| E-Mail-Adresse (optional) | Wenn du dich per Email-Link registrierst | Anmeldung, Account-Wiederherstellung |
| Apple-ID-Hash (optional) | Wenn du Sign-in with Apple nutzt | Anmeldung ohne separates Passwort |
| Anonymes Token | Standardfall — du kannst BOXIA nutzen ohne Account | Lokale Persistenz (Favoriten, Hydration-Ziel) ohne Identitäts-Bindung |
Rechtsgrundlage: Art. 6 (1) (b) DSGVO (Vertragserfüllung — Bereitstellung des App-Services).
Hinweis zu Anonymous Auth: Wenn du BOXIA ohne Account nutzt, erhalten wir nur eine technische Pseudonymisierungs-ID (Firebase Anonymous-UID). Diese ist NICHT mit deiner Identität verknüpft. Beim späteren Sign-In kannst du deine bisherigen Favoriten/Beiträge zu einem Account migrieren.
3.2 Standortdaten
| Datentyp | Wann erhoben | Wofür |
|---|---|---|
| GPS-Koordinaten (präzise) | Nur „while-in-use" — wenn die App aktiv ist | Karte um deinen Standort zentrieren, nahegelegene Automaten anzeigen |
| Reverse-Geocoding-Ergebnis (Adresse) | Bei Submission eines neuen Automaten | Adresse für die Maschinen-Meldung vorschlagen |
Rechtsgrundlage: Art. 6 (1) (a) DSGVO (deine ausdrückliche Einwilligung) — du gewährst die Standort-Berechtigung in iOS via Standard-Permission-Dialog. Du kannst die Berechtigung jederzeit in den iOS-Einstellungen widerrufen.
Speicherdauer: Standort wird nicht persistent gespeichert. Wir verwenden ihn nur für die aktuelle Sitzung, um die Karte zu zentrieren und Maschinen in der Nähe abzufragen. Ausnahme: Bei einer Submission speichern wir die Maschinen-Standort-Koordinaten dauerhaft (gehört zur Submission-Beschreibung) — aber nicht deine Position zum Zeitpunkt der Submission.
3.3 Foto-Uploads
| Datentyp | Wann erhoben | Wofür |
|---|---|---|
| Fotos von Verkaufsautomaten | Wenn du selber einen Automaten meldest | Dokumentation des Automaten für andere User |
| Fotos von Produkten | Wenn du den Scanner nutzt | Optische Verifikation des gescannten Barcode-Inhalts |
Rechtsgrundlage: Art. 6 (1) (b) DSGVO (Vertragserfüllung — Submission-Service).
Wichtige Hinweise:
- Wir entfernen automatisch EXIF-Metadaten (insbesondere GPS-Koordinaten und Aufnahmezeit) aus deinen Fotos vor der Speicherung.
- Bevor du senden kannst, kannst du das Foto noch ändern oder verwerfen.
- Submissions durchlaufen einen Moderations-Prozess durch BOXIA-Staff vor Veröffentlichung.
3.4 KI-Foto-Analyse (Vertex AI Gemini 2.5 Flash)
Wenn du einen Automaten meldest, schicken wir dein Foto an Vertex AI Gemini 2.5 Flash (Google Cloud, Region europe-west3 in Frankfurt) zur automatischen Klassifikation.
Was die KI macht:
- Erkennt den Automaten-Typ (Snack/Drink/Kaffee/Combo/etc.)
- Schlägt erwartete Produkt-Kategorien vor
- Liest sichtbare Marken-Hinweise
Was die KI NICHT macht:
- Keine automatische Veröffentlichung. Die KI füllt nur dein Submission-Formular vor — du bestätigst manuell, was korrekt ist.
- Keine Personen-Erkennung. Wir verwerfen explizit Fotos auf denen Personen klar identifizierbar sind (siehe §4.5 KI-Pre-Filter).
- Keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO.
Wo die Daten verarbeitet werden:
- Vertex AI Gemini 2.5 Flash Service in der EU-Region
europe-west3(Frankfurt, Deutschland) - Die Foto-Daten verlassen die EU NICHT für die Analyse
- Nach der Analyse werden die Eingabe-Tokens (= dein Foto) gemäß Google's Vertex-AI-Data-Governance-Policy nicht für Modell-Training verwendet und nach 24 Stunden gelöscht
Rechtsgrundlage: Art. 6 (1) (b) DSGVO (Vertragserfüllung — Komfort-Funktion zur Submission-Vorbefüllung) + Art. 6 (1) (f) (berechtigtes Interesse — schnellere und korrektere Submissions).
Du kannst die KI-Analyse umgehen, indem du dein Submission-Formular manuell ausfüllst — die KI ist eine Komfort-Funktion, kein Pflicht-Element.
3.5 Beiträge (UGC — User Generated Content)
| Datentyp | Wann erhoben | Wofür |
|---|---|---|
| Maschinen-Submissions (Standort, Typ, Foto, Notizen) | Beim Melden eines neuen Automaten | Andere User profitieren von deinem Beitrag |
| Bewertungen (1-5 Sterne + optional Kommentar) | Beim Bewerten einer Maschine | Qualitäts-Signal für andere User |
| Favoriten (Maschinen-IDs) | Beim Markieren als Favorit | Schneller Zugriff auf deine Lieblings-Automaten |
Rechtsgrundlage: Art. 6 (1) (b) DSGVO (Vertragserfüllung).
Veröffentlichung: Submissions und Bewertungen werden nach Moderations-Prüfung allen anderen App-User:innen angezeigt. Dein Username erscheint nicht dabei — UGC ist anonymisiert sichtbar.
3.6 Technische Daten
| Datentyp | Wann erhoben | Wofür |
|---|---|---|
| App-Version, iOS-Version, Device-Modell | Bei jedem App-Start | Crash-Diagnose, Kompatibilitäts-Sicherung |
| Crash-Reports (Stack-Traces, anonymisiert) | Bei App-Crashes | Bug-Behebung |
| App-Check-Token | Bei jedem Backend-Call | Verhinderung von Bot-/Spam-Zugriffen, kein Personen-Bezug |
Rechtsgrundlage: Art. 6 (1) (f) DSGVO (berechtigtes Interesse — App-Stabilität und Bot-Schutz).
Crashlytics: Wir nutzen Firebase Crashlytics von Google. Crash-Reports sind anonymisiert und enthalten keine persönlichen Daten oder UGC.
4. Wer Zugriff hat — Empfänger der Daten
4.1 Google Firebase / Google Cloud (USA, EU-Hosting)
BOXIA nutzt Firebase als Backend-Plattform:
- Firebase Authentication — Account-Management (USA + EU-Hosting konfigurierbar)
- Cloud Firestore — Datenbank (Hosting in EU-Region
europe-west3) - Firebase Cloud Storage — Foto-Speicher (Hosting in EU-Region
europe-west3) - Cloud Functions — Backend-Logik (Hosting in EU-Region
europe-west3) - Firebase App Check — Bot-Schutz (USA-basiert, keine PII)
- Firebase Crashlytics — Crash-Reporting (USA-basiert, anonymisiert)
- Vertex AI — KI-Foto-Analyse (Hosting in EU-Region
europe-west3)
Auftragsverarbeitungs-Vertrag (AVV): Mit Google ist der GCP-Standard-AVV (Google Cloud Data Processing Addendum) abgeschlossen. Standardvertragsklauseln gemäß Art. 46 DSGVO sind aktiv für Drittland-Übermittlungen.
Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung).
4.2 Apple (USA)
Wenn du Sign-in with Apple nutzt, erhält Apple Informationen über dein Apple-ID-Login (Pseudonym, keine Email an uns wenn du „Hide my Email" aktivierst).
Rechtsgrundlage: Art. 6 (1) (a) DSGVO (deine Einwilligung beim Sign-in-Dialog). Apple's Datenschutz-Praxis: https://www.apple.com/legal/privacy/.
4.3 Cloudflare (USA, EU-Hosting via Cloudflare-Edge)
Wenn du das Web-Portal connect.boxia.app (BOXIA Connect) im Browser aufrufst, wird zur Absicherung gegen Bot-/Spam-Zugriffe Cloudflare Turnstile als App-Check-Provider eingesetzt. Cloudflare erhält dabei:
- Browser-/Device-Tokens (Privacy-preserving Attestation, kein User-Login)
- IP-Adresse (für die Token-Ausstellung, nicht persistent gespeichert)
Cloudflare nutzt diese Daten ausschließlich zur Echtheits-Verifikation und nicht für Tracking, Profiling oder Werbung. Turnstile ist Cookies- und CAPTCHA-frei (kein Re-Identifikations-Risiko über Sessions hinweg).
Auftragsverarbeitungs-Vertrag (AVV): Mit Cloudflare ist der Cloudflare-DPA (Data Processing Addendum) abgeschlossen. Standardvertragsklauseln gemäß Art. 46 DSGVO sind aktiv für Drittland-Übermittlungen. Cloudflare-Edge-Verarbeitung erfolgt in der EU.
Rechtsgrundlage: Art. 6 (1) (f) DSGVO (berechtigtes Interesse — Schutz vor Bot-/Spam-Zugriffen auf das Operator-Portal) + Art. 28 DSGVO (Auftragsverarbeitung).
Hinweis: Die iOS-App nutzt Apple App Attest als App-Check-Provider (Apple-natives Verfahren ohne Cloudflare-Beteiligung). Cloudflare wird ausschließlich im Web-Browser-Kontext eingesetzt.
Cloudflare's Datenschutz-Praxis: https://www.cloudflare.com/privacypolicy/.
4.4 Keine Werbe-Tracker, kein Profiling
BOXIA enthält keine Werbe-Tracker, kein App Tracking Transparency (ATT) Framework, keine Drittanbieter-Analytics, keine Cookies und kein Cross-App-Profiling. Dein Verhalten in der App wird nicht für Marketing-Zwecke ausgewertet.
5. Wie lange wir deine Daten speichern
| Datentyp | Speicherdauer |
|---|---|
| Account-Daten (UID, Email) | Bis du dein Konto löschst |
| Standort | Nicht persistent (nur Sitzung) |
| Foto-Uploads (Submissions) | Bis du dein Konto löschst — danach siehe §6.3 zur UGC-Anonymisierung |
| KI-Analyse-Eingabe (Foto an Vertex AI) | Maximal 24 Stunden bei Google, dann automatische Löschung |
| Crash-Reports | 90 Tage (Firebase Crashlytics Default) |
| App-Check-Tokens | Sitzungs-Dauer (max. 1 Stunde) |
6. Account-Löschung
Du kannst jederzeit dein Konto löschen via Profil → Konto löschen. Dabei passiert Folgendes:
6.1 Was komplett gelöscht wird
- Dein Firebase-Auth-Eintrag (du kannst dich nicht mehr einloggen)
- Dein Profil-Datensatz (
/users/{uid}) - Alle deine privaten Subcollections (Hydration-Logs, Pending-Email-State)
- Alle deine Foto-Uploads in Storage unter
users/{uid}/ - Pending oder rejected Submissions (= Submissions die nicht öffentlich wurden)
6.2 Was als anonymisierter Beitrag erhalten bleibt
⚠️ Hinweis: Das gilt erst nach Implementierung der Anonymisierungs-Logik (siehe ADR-0018). Aktueller Stand: bei Account-Löschung werden ALLE Daten komplett gelöscht. Wenn die Anonymisierungs-Funktion nicht in der App implementiert wird, ist dieser Abschnitt zu streichen.
Approved Submissions (= bereits öffentlich auf der Map sichtbare Automaten-Meldungen) bleiben anonymisiert in der Datenbank:
- Die Verknüpfung zu deiner Identität wird gekappt (deine UID wird durch einen Sentinel-Wert
"deleted"ersetzt) - EXIF-Metadaten der Fotos werden komplett entfernt (waren bereits beim Upload geschehen)
- Inhaltlich bleibt der Beitrag (Standort, Typ, Foto) für andere User sichtbar
Warum: UGC-Beiträge die anderen User helfen (z.B. „Hier ist ein Automat") sollen nicht durch Account-Löschungen vernichtet werden — entspricht der Praxis von Google Maps, Yelp, Reddit, Wikipedia und TripAdvisor.
Rechtsgrundlage: Art. 17 (3) (d) DSGVO (Verarbeitung für im öffentlichen Interesse liegende Aufgaben — anonymisierte UGC-Aufbewahrung) + DSGVO Erwägungsgrund 26 (anonymisierte Daten fallen nicht unter den Schutzbereich).
6.3 Was vollständig gelöscht wird auf Wunsch
Wenn du auch deine approved Submissions vollständig gelöscht haben möchtest (nicht nur anonymisiert), kontaktiere uns bitte unter info@boxia.app mit einer entsprechenden Anfrage. Wir bearbeiten solche Anfragen innerhalb von 30 Tagen gemäß Art. 17 (1) DSGVO.
7. Deine Rechte
Du hast die folgenden DSGVO-Rechte gegenüber uns:
| Recht | Bedeutung | Wie wahrnehmen |
|---|---|---|
| Auskunft (Art. 15) | Welche Daten haben wir über dich gespeichert | Email an info@boxia.app mit Subject „Auskunftsersuchen" |
| Berichtigung (Art. 16) | Korrektur falscher Daten | Direkt in der App (Profil-Settings) oder via Email |
| Löschung (Art. 17) | „Recht auf Vergessenwerden" | In-App: Profil → Konto löschen. Bei Voll-Löschung inkl. UGC: Email-Anfrage |
| Einschränkung (Art. 18) | Sperrung der Verarbeitung | Email an info@boxia.app |
| Datenübertragbarkeit (Art. 20) | Export deiner Daten in maschinenlesbarem Format | Email-Anfrage. Wir liefern in 30 Tagen. |
| Widerspruch (Art. 21) | Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen | Email an info@boxia.app |
| Widerruf der Einwilligung | Wenn Verarbeitung auf Einwilligung beruht (Standort, Push-Notifications) | Direkt in iOS-Einstellungen → BOXIA → Permission widerrufen |
Antwortzeit: Wir bestätigen den Eingang innerhalb von 1 Woche und bearbeiten innerhalb von 30 Tagen (Art. 12 (3) DSGVO).
8. Beschwerderecht bei der Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für den Verantwortlichen (Sitz in Köln, Nordrhein-Westfalen) ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2–4
40213 Düsseldorf
Telefon: 0211 38424-0
E-Mail: poststelle@ldi.nrw.de
Web: https://www.ldi.nrw.de
Eine vollständige Übersicht der deutschen Datenschutz-Aufsichtsbehörden findest du auf der Seite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI): https://www.bfdi.bund.de.
9. Sicherheit deiner Daten
Wir setzen technische und organisatorische Maßnahmen um, um deine Daten zu schützen:
- Verschlüsselung in Transit: Alle Verbindungen zu unseren Servern erfolgen über HTTPS (TLS 1.3)
- Verschlüsselung at Rest: Alle in Firebase / Google Cloud gespeicherten Daten sind serverseitig verschlüsselt (AES-256)
- App Check: Wir verifizieren die Authentizität der App-Calls über Apple App Attest (iOS-App) bzw. Cloudflare Turnstile (Web-Portal
connect.boxia.app), um Bot-Zugriffe zu unterbinden. Details zu Cloudflare als Auftragsverarbeiter siehe §4.3. - Security Rules: Firestore-Datenbank-Zugriffe sind durch deklarative Security Rules abgesichert — User können nur ihre eigenen Daten lesen/schreiben (außer bei explizit öffentlichen Inhalten wie approved Submissions)
- Cloud-Function-Audit: Sensitive Operationen (Account-Löschung, Inventory-Updates) laufen über Cloud Functions mit Audit-Trail
Trotz aller Sorgfalt ist das Internet kein 100% sicheres Medium. Bei Verdacht auf Account-Kompromittierung kontaktiere uns sofort.
10. Kinder und Jugendschutz
BOXIA richtet sich an Personen ab 16 Jahren (Art. 8 (1) DSGVO). Wenn du unter 16 bist, brauchst du die Einwilligung deiner Erziehungsberechtigten zur Nutzung. Wir prüfen das Alter nicht aktiv beim Account-Anlegen.
Falls wir Kenntnis erhalten, dass ein Account von einer Person unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten erstellt wurde, löschen wir den Account.
11. Push-Notifications (zukünftig, ab v1.1)
Aktuell sendet BOXIA keine Push-Notifications. In zukünftigen Versionen (v1.1 und später) können wir dir Push-Notifications senden zu:
- Bestands-Updates für Favoriten-Automaten („Dein Lieblings-Automat ist wieder befüllt")
- Status deiner eingereichten Submissions („Deine Meldung wurde bestätigt")
- Allgemeine BOXIA-News
Rechtsgrundlage: Art. 6 (1) (a) DSGVO (deine ausdrückliche Einwilligung über den iOS-Permission-Dialog).
Du kannst Push-Notifications jederzeit pro Kategorie in den App-Settings oder komplett in den iOS-Einstellungen abschalten.
12. Änderungen dieser Datenschutzerklärung
Wir können diese Erklärung anpassen, wenn sich Funktionen ändern oder rechtliche Anforderungen es verlangen.
- Geringfügige Änderungen (z.B. neue Empfänger-Adressen, Klarstellungen) treten ohne separate Benachrichtigung in Kraft, sind aber im Versions-Verlauf am Ende dieser Seite einsehbar
- Wesentliche Änderungen (neue Datenarten, neue Zwecke, neue Empfänger) werden dir vor In-Kraft-Treten in der App angezeigt — bei Bedarf bitten wir dich um neue Einwilligung
Aktueller Stand: 2026-05-13
13. Kontakt
Bei Fragen, Anliegen oder Datenschutz-Anfragen wende dich an:
Enes Saribal
Boxia
Domagkstr. 16
51063 Köln
Deutschland
E-Mail: info@boxia.app
Wir antworten innerhalb von 1 Woche und bearbeiten Datenschutz-Anfragen gemäß DSGVO innerhalb von 30 Tagen.
Siehe auch das Impressum (§5 TMG).
Versions-Verlauf
| Version | Datum | Änderung |
|---|---|---|
| 1.0 | 2026-05-13 | Verantwortlicher + Kontaktdaten + Aufsichtsbehörde NRW eingetragen, Live-Veröffentlichung |
| Draft v1 | 2026-04-29 | Initialer technisch-strukturierter Entwurf |