Datenschutz für die PoesieAlbum-App

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

mi.ai GbR

48432 Rheine

E-Mail: kontakt@mi-ai.de

Für Fragen zum Datenschutz erreichst du uns jederzeit unter kontakt@mi-ai.de.

PoesieAlbum ist eine App, mit der du dein eigenes digitales Poesiealbum gestaltest, anpasst und mit ausgewählten Personen teilen kannst. Eingeladene Nutzer:innen können eine Seite mit Text, Stickern, Zeichnungen, Fotos und (als Pro-Feature) Sprachnotizen beitragen. Du kannst Alben außerdem als Geschenk anlegen, ein Album versiegeln und es im Discover-Bereich für andere PoesieAlbum-Nutzer:innen sichtbar machen. Für die App verarbeiten wir deine Account-Daten, deine eigenen Album-Inhalte sowie technische Daten. Eine Nutzung der App ist ohne Registrierung nicht möglich.

3.1 Registrierung und Authentifizierung

• E-Mail-Adresse und (gehashtes) Passwort (bei Registrierung per E-Mail/Passwort)
• Kennungen deines Anmeldeproviders (bei „Mit Google anmelden" oder „Mit Apple anmelden")
• Eine von Firebase erzeugte eindeutige Nutzer-ID (uid)
• Zeitpunkt der Registrierung und der letzten Aktivität
• Onboarding-Status und akzeptierte Datenschutz-Version (onboardingComplete, privacyPolicyAccepted, privacyPolicyAcceptedAt)

3.2 Profildaten

• Anzeigename und eindeutiger Benutzername (Handle, z. B. „anna_42")
• Optionales Profilbild
• Account-Status (Pro / Free)
• Privatsphäre-Einstellung (öffentlich / nur Freunde)
• Zeitzone deines Geräts (für die korrekte lokale Auslieferung von Erinnerungen)
• Eine zur Suche per E-Mail kleingeschriebene Spiegelung deiner E-Mail (emailLower), damit andere registrierte Nutzer dich beim Teilen eines Albums per E-Mail einladen können
• Optional: Geburtsjahr (vierstellig) – wird nur zur Anzeige auf deinem eigenen Profil und für deine Freund:innen verwendet
• Optional: Geburtstag (Tag und Monat) – wenn du diese Felder ausfüllst, erinnern wir deine Freund:innen 14, 3 und 0 Tage vor deinem Geburtstag mit einer Push-Benachrichtigung. Du kannst die Felder jederzeit wieder leeren – damit ist die Erinnerungsfunktion sofort deaktiviert.

3.3 Poesiealbum-Daten (von dir erstellt)

• Albumtitel und Hintergrund-Auswahl (Vorlage oder bei Pro: eigenes Bild aus deiner Fotomediathek)
• Anlass-Metadaten: Anlass-Typ (z. B. Geburtstag, Hochzeit, Abschied, Baby, Abschluss) und Anlass-Datum, falls du sie wählst
• Versiegelung (optional, Pro): Du kannst ein Album bis zu einem Datum versiegeln. Bis dahin sind die eingereichten Seiten für alle Beteiligten – auch für dich – verschlossen. Wir speichern sealed, revealAt und revealNotifiedAt.
• Geschenk-Alben: Wenn du ein Album für eine andere Person erstellst, speichern wir den Anzeigenamen (und ggf. die uid und das Profilbild, falls die Person bereits PoesieAlbum-Nutzer:in ist) der beschenkten Person (recipient.uid, recipient.displayName, recipient.photoURL) sowie deine eigenen Daten als Schenker:in (giftedByUid, giftedByDisplayName, giftedByPhotoURL). Mit der Enthüllung des Geschenks geht das Album in den Besitz der beschenkten Person über; deine Schenker:innen-Daten bleiben für den Verlauf sichtbar.
• Pro Account: maximal 1 (Free) bzw. 2 (Pro) gleichzeitige Alben
• Pro Album führen wir Zähler: Anzahl eingereichter Seiten (entryCount) und Zeitpunkt der letzten Einreichung (lastEntryAt)
• Pro eingeladener Person eine Eintrags-Seite bestehend aus:
  • Freitext (max. 4000 Zeichen)
  • Liste platzierter Sticker (Sticker-ID, Position, Drehung, Größe)
  • Format-Metadaten (Schriftart, -größe, -farbe, Tintenfarbe, Layout-Parameter, Eintrags-Header mit Name / Beziehung / Datum – vom Verfasser selbst eingetragen)
  • Optional: eine vom Nutzer gezeichnete PNG-Grafik
  • Optional (Pro): Sprachnotiz im m4a-Format – wird in Firebase Storage abgelegt; im Eintrag wird nur die Download-URL referenziert
  • Optional: bis zu 8 (Pro) bzw. 1 (Free) Foto(s) aus deiner Fotomediathek – als „Polaroid" im Eintrag eingebettet, einzeln in Firebase Storage gespeichert
  • Optional: ein eigener Hintergrund für genau diese Seite (Pro)
  • Sichtbarkeit (visibility): Standardmäßig ist jede Seite privat (nur Album-Mitglieder). Du kannst deine eigene Seite ausdrücklich auf „öffentlich" stellen – sie wird damit aber nur dann tatsächlich öffentlich sichtbar, wenn der/die Album-Eigentümer:in das Album zusätzlich im Discover-Bereich freischaltet (siehe §6).
  • Anzeigeinformationen des Verfassers (Handle, Anzeigename, Profilbild, Eintragszeitpunkt)
• Eine Liste unlockedReaders, die festhält, welche eingeladenen Personen ihre eigene Seite bereits eingereicht haben (und damit die Seiten der anderen sehen dürfen)

3.4 Hochgeladene Bilder, Zeichnungen und Audio

Alle Uploads liegen in Firebase Storage in der Google-Region „europe-west3" (Frankfurt am Main). In den Firestore-Dokumenten speichern wir jeweils nur die Download-URL, nie die Bild- oder Audiodaten selbst.

• Profilbild: Pfad userPhotos/{uid}
• Album-Hintergrundbild (Pro): Pfad albumBackgrounds/…
• Pro Eintragsseite ein eigener Hintergrund (Pro): Pfad albumBackgrounds/…
• Zeichnung pro Eintragsseite: als PNG unter albumDrawings/…
• Sprachnotiz pro Eintragsseite (Pro): m4a-Datei unter albumVoiceMemos/…
• Eingebettete Fotos pro Eintragsseite: einzeln unter albumPhotos/…

3.5 Teilen-Funktion (Sharing)

A. Einladung per E-Mail-Adresse

• Wenn du ein Album mit einer anderen Person per E-Mail teilst, wird ein albumShares-Dokument angelegt mit: Album-ID, deine Daten als Eigentümer:in, eingeladene uid (falls Nutzer:in vorhanden), eingeladene E-Mail (klein), Status (pending, accepted, declined, submitted, expired), Erstellzeit und Ablaufzeit
• Zeitlimit: eingeladene Personen haben 4 Tage ab Erstellung der Einladung Zeit, ihre Seite zu schreiben. Danach wird die Einladung automatisch ungültig und du kannst den Platz neu vergeben
• Widerruf: du kannst eine ausstehende Einladung jederzeit zurückziehen – solange noch keine Seite eingereicht wurde
• Bei Annahme einer Einladung erhält die einladende Person eine Push-Benachrichtigung; bei Einreichung einer Seite ebenso

B. Einladung per Link

• Alternativ kannst du einen Einladungslink erzeugen, den du frei weitergibst. Es wird ein albumLinkShares-Dokument angelegt mit: Album-ID, deine Daten als Eigentümer:in, Link-ID, Status (active, claimed, expired, revoked), Erstellzeit und Ablaufzeit
• Zeitlimit Link: der Link ist 7 Tage lang gültig
• Sobald jemand den Link einlöst, speichern wir die uid und den Zeitpunkt der Einlösung (claimedByUid, claimedAt). Du erhältst eine Push-Benachrichtigung über die Einlösung.
• Widerruf: solange der Link nicht eingelöst wurde, kannst du ihn jederzeit deaktivieren

3.6 Soziale Funktionen, Freundschaften und Engagement-Daten

A. Freundschaften

• Freundschaftsanfragen (gesendet/empfangen) inkl. Status
• Liste deiner Freunde mit Anzeigename und Handle
• Aggregierte Profildaten, die für Freunde sichtbar werden (siehe §6)

B. Engagement-Daten

• entriesContributed: Anzahl deiner Beiträge in fremden Alben. Diese Zahl wird auf der globalen Schreib-Bestenliste und auf deinem Profil für Freund:innen angezeigt (siehe §6).
• Streak-Daten: aktuelle Schreib-Serie (streakDays), Tag der letzten Aktivität (streakLastDay), persönlicher Rekord (streakBest) – werden serverseitig bei jeder eingereichten Seite aktualisiert. Streak-Daten sind nur für dich selbst sichtbar.
• Throwback-Funktion (optional, opt-in): Wenn du sie aktivierst (throwbackEnabled = true), schicken wir dir maximal einmal pro Woche eine Push-Benachrichtigung mit einer zufälligen alten Seite aus deinen Alben („Throwback"). Wir merken uns dazu den Zeitpunkt der letzten Throwback-Aussendung (lastThrowbackAt) und die zuletzt verschickten Einträge (recentThrowbacks), um Wiederholungen zu vermeiden. Du kannst die Funktion jederzeit wieder deaktivieren und einzelne Einträge dauerhaft stummschalten (throwbackMutedEntries).

3.7 Push-Benachrichtigungen (optional)

Wenn du Benachrichtigungen aktivierst, verarbeiten wir zusätzlich:

• Einen oder mehrere Expo Push Tokens pro Gerät, ausgestellt von Expo (USA) bzw. den Push-Diensten von Apple (APNs) / Google (FCM)
• Plattform deines Geräts (ios / android), Zeitpunkt der Registrierung, Zeitpunkt der letzten Sichtung
• Deine Zeitzone, damit Erinnerungen zur korrekten lokalen Stunde ausgeliefert werden

Push-Anlässe (Stand: Version 2):

• Du wurdest zu einem Album eingeladen (per E-Mail) – interner Kennwert albumShareInvite
• Dein Einladungslink wurde eingelöst – albumLinkClaimed
• Eine eingeladene Person hat ihre Seite eingereicht – albumEntrySubmitted
• Ein versiegeltes Album wird heute enthüllt – albumReveal
• Du hast ein Geschenk-Album bekommen (für Geschenk-Empfänger:innen am Enthüllungs-Tag) – albumGiftReveal
• Wöchentlicher Throwback (opt-in über die Throwback-Einstellung) – throwback
• Geburtstags-Erinnerung für deine Freund:innen (nur wenn du Tag/Monat in deinem Profil ausgefüllt hast; jeweils 14, 3 und 0 Tage vor dem Geburtstag) – birthdayNudge

Push-Benachrichtigungen werden niemals für Werbung eingesetzt. Inaktive („DeviceNotRegistered") Tokens werden automatisch entfernt. Du kannst Benachrichtigungen jederzeit in der App oder in den Systemeinstellungen deaktivieren. Sollten in einer späteren App-Version weitere Push-Anlässe hinzukommen, aktualisieren wir diese Liste und fordern dich erneut zur Zustimmung dieser Datenschutzerklärung auf.

3.8 Pro-/Abonnementdaten

• RevenueCat-Nutzer-ID = deine Firebase-uid
• Pro-Status (true/false) inkl. Quelle und Aktualisierungs-Zeitstempel
• Firebase-Auth Custom Claim „pro" (true/false)

Zahlungsdaten (Kreditkarte, PayPal etc.) werden nicht von uns verarbeitet, sondern ausschließlich im jeweiligen App Store (Apple App Store / Google Play) bzw. durch RevenueCat.

3.9 Bewertungen und Discover

Wenn du dein Album im Discover-Bereich freischaltest (Pro, siehe §6), können andere eingeloggte Nutzer:innen es bewerten. Dabei verarbeiten wir:

• Pro Bewertung ein Dokument albumRatings/{albumId}_{uid} mit: Bewerter-uid, Album-ID, Album-Eigentümer-uid, Sternzahl (1–5), Erstell- und Aktualisierungszeit
• Aggregat auf dem Album-Dokument: Gesamtzahl Bewertungen (ratingsCount), Summe der Sterne (ratingsSum), Durchschnittsbewertung (ratingsAvg)

Du kannst eigene Bewertungen jederzeit wieder zurücknehmen.

3.10 Technische Daten

• App Check Token (Firebase App Check via Play Integrity / App Attest)
• Logs und Fehlermeldungen unserer Cloud Functions (in anonymisierter Form bei Google Cloud Logging)
• RevenueCat-Webhook-Event-IDs (Idempotenz, max. 30 Tage)
• Dedupe-Map für Geburtstags-Erinnerungen (birthdayNudgesSent): kleine Map auf deinem Nutzer-Dokument, die festhält, an welche/n Freund:in wir für welches Jahr bereits eine Erinnerung gesendet haben, damit niemand doppelt benachrichtigt wird

3.11 Geräteberechtigungen

PoesieAlbum greift nur auf folgende Geräte-Schnittstellen zu – jeweils erst nach deiner ausdrücklichen Erlaubnis im Systemdialog:

• Fotomediathek (Lesezugriff auf Bilder): zum Hochladen von Profilbild, Album-Hintergrund, Seiten-Hintergrund und Foto-Polaroids
• Mikrofon (Pro): zum Aufnehmen von Sprachnotizen im Eintragscomposer
• Push-Benachrichtigungen: für die unter §3.7 beschriebenen Anlässe

Wir greifen niemals auf folgendes zu: Kamera, Kontakte, Standortdaten, Kalender, Gesundheits- oder Fitness-Daten, Schreibzugriff auf deine Galerie, andere installierte Apps.

3.12 Print- und PDF-Export

Wir bereiten ein Feature vor, mit dem Albumbesitzer:innen ihr fertiges Album als PDF herunterladen oder als gedrucktes Buch über einen Druckservice bestellen können. Sobald dieses Feature live ist:

• Das PDF wird serverseitig in unserer Cloud-Function-Region „europe-west3" erzeugt und spätestens 7 Tage nach erfolgreichem Download wieder aus unseren Systemen gelöscht.
• In das PDF aufgenommen werden ausschließlich die Daten, die ohnehin in der App-Ansicht des Albums sichtbar sind: Eintrags-Text, Sticker, Zeichnung, Fotos, der Anzeigename, das Handle und das Profilbild der jeweiligen Verfasser:in sowie der Eintragszeitpunkt. E-Mail-Adressen, Firebase-uids, Push Tokens, Streak-Daten oder sonstige technische Identifier landen nicht im PDF.
• Hinweis-Seiten für gelöschte Beiträge (siehe §9) erscheinen nur in der App-Ansicht und werden nicht in das PDF aufgenommen.
• Falls wir einen externen Druckservice einbinden (z. B. für die physische Buch-Bestellung), listen wir den Anbieter zusätzlich in §5 als Auftragsverarbeiter und schließen einen entsprechenden Auftragsverarbeitungsvertrag (AVV) ab.
• Sobald das PDF heruntergeladen bzw. das Buch ausgeliefert wurde, verlässt die Kopie unsere Systeme. Die anschließende Nutzung im persönlichen oder familiären Umfeld fällt unter die Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO; wir sind dafür nicht mehr verantwortlich.

Wir nutzen für den Betrieb der App sorgfältig ausgewählte Dienstleister, die als Auftragsverarbeiter nach Art. 28 DSGVO eingebunden sind oder als eigenständig Verantwortliche fungieren:

• Google Ireland Ltd. / Google LLC (Irland / USA) – Firebase Authentication, Cloud Firestore, Cloud Functions, Firebase Storage, App Check, Cloud Logging, FCM (Push-Zustellung Android). Hauptbetrieb in der Region „europe-west3" (Frankfurt am Main). Datenschutz: policies.google.com/privacy
• Expo, Inc. (USA) – Ausstellung und Zustellung der Expo Push Tokens (Brücke zu APNs / FCM) für unsere Benachrichtigungen. Übertragen werden nur der Push Token sowie Titel und Text der Nachricht. Datenschutz: expo.dev/privacy
• Apple Inc. (USA) – Apple Push Notification Service (APNs, nur iOS), Sign in with Apple sowie App Attest für App Check (nur iOS). Datenschutz: apple.com/legal/privacy
• Google LLC (USA) – Google Sign-In – nur bei Anmeldung per Google. Datenschutz siehe oben.
• RevenueCat, Inc. (USA) – Verwaltung deines Pro-Abonnements, Abgleich mit App Store / Google Play. Datenschutz: revenuecat.com/privacy

Eine Weitergabe an andere Dritte findet nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet oder du hast ausdrücklich eingewilligt.

PoesieAlbum unterscheidet zwischen drei Sichtbarkeits-Stufen:

Stufe 1 – Nur für direkt Beteiligte

• Bei der Suche per Benutzername (Handle) oder beim Teilen per E-Mail: Anzeigename, Handle, Profilbild
• Wenn ihr in einem geteilten Album zusammenarbeitet: zusätzlich die im jeweiligen Album beigetragenen Texte, Sticker, Zeichnungen, Sprachnotizen und Fotos – und zwar erst, wenn du selbst eine Seite eingereicht hast
• Wenn ihr befreundet seid: zusätzlich Profil-Eckdaten (Handle, Anzeigename, Profilbild) und ggf. dein Geburtsjahr

Stufe 2 – Für alle eingeloggten PoesieAlbum-Nutzer:innen sichtbar

• Globale Schreib-Bestenliste: Die Top-50 nach entriesContributed (Beiträgen in fremden Alben). Dort sichtbar: Handle, Anzeigename, Profilbild, Anzahl Beiträge.
• Discover / Showcase: Wenn du dein Album in den Discover-Bereich freischaltest (Pro-Feature, Opt-in), wird das Album mit Cover-Bild, Titel, Anzeigename und Profilbild für alle eingeloggten Nutzer:innen sichtbar.
• Einzelne Eintragsseiten in Discover-Alben sind zusätzlich öffentlich sichtbar, wenn der/die Verfasser:in selbst die Sichtbarkeit der eigenen Seite ausdrücklich auf „öffentlich" gestellt hat. Privat geschriebene Seiten bleiben in jedem Fall nur für die Album-Mitglieder sichtbar.
• Album-Bewertungen: Jede:r eingeloggte Nutzer:in kann ein Discover-Album mit 1–5 Sternen bewerten. Die Durchschnittsbewertung und die Anzahl der Bewertungen werden öffentlich angezeigt; deine einzelne Bewertung sehen nur du selbst und der/die Album-Eigentümer:in (uid-Zuordnung).
• Top-Alben-Ranking: aus den am höchsten bewerteten Discover-Alben wird automatisch eine Rangliste erstellt.

Hinweis zu Screenshots und Kopien

Andere Mitglieder eines Albums (Eigentümer:in und eingeladene Personen, die ihre eigene Seite eingereicht haben) können deine Seite jederzeit per Screenshot kopieren oder – sobald das Print-Feature live ist (siehe §3.12) – als PDF speichern bzw. drucken. Wir können das technisch nicht verhindern. Sobald solche Kopien das App- bzw. Backend-Umfeld verlassen haben, fallen sie nicht mehr unter unsere Verantwortung als Auftragsverarbeiter, sondern unter die Haushaltsausnahme der jeweiligen Person.

Stufe 3 – Niemals öffentlich

E-Mail-Adresse (außer beim gezielten Teilen mit dieser konkreten Person), Geburtstag (Tag/Monat), einzelne Entwürfe (Drafts werden nur lokal gespeichert), Pro-Status, Push Tokens, Zeitzone, Benachrichtigungs-Einstellungen, technische Tokens, Streak-Daten, Throwback-Einstellungen, Geräteberechtigungen.

Einige der oben genannten Dienstleister (insbesondere Google, RevenueCat, Apple, Expo) verarbeiten Daten teilweise in den USA. Die Übermittlung erfolgt auf Basis von Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) und, soweit die jeweilige Organisation zertifiziert ist, auf Basis des EU-US Data Privacy Framework (Angemessenheitsbeschluss Art. 45 DSGVO).

Der Hauptbetrieb unserer Backend-Infrastruktur (Cloud Functions, Firestore-Writes, Storage-Uploads inkl. Fotos, Zeichnungen, Sprachnotizen) läuft in der Google-Region „europe-west3" (Frankfurt).

• Aktive Account-Daten: solange dein Account besteht
• Albumdaten und Eintragsseiten (Text, Sticker, Zeichnungen, Sprachnotizen, eingebettete Fotos): solange das Album besteht (oder bis du es löschst)
• Hochgeladene Bilder, Zeichnungen, Sprachnotizen: solange das zugehörige Album/der zugehörige Eintrag besteht
• Einladungen (albumShares): pending/accepted maximal 4 Tage; nach Ablauf werden sie auf „expired" markiert und dürfen jederzeit gelöscht werden
• Link-Einladungen (albumLinkShares): aktiv maximal 7 Tage; eingelöste/widerrufene Links bleiben für den Verlauf erhalten und können auf Wunsch gelöscht werden
• Push Tokens: bis du Benachrichtigungen deaktivierst, deinen Account löschst oder Apple/Google den Token als ungültig meldet (DeviceNotRegistered → automatische Bereinigung)
• Album-Bewertungen: solange das bewertete Album existiert; ein Account-Löschen entfernt deine eigenen Bewertungen
• Engagement-Daten (entriesContributed, Streak, Throwback): solange dein Account besteht; werden mit der Account-Löschung entfernt
• RevenueCat-Webhook-Idempotenz: max. 30 Tage
• Bei Löschung deines Accounts: alle personenbezogenen Daten werden unverzüglich gelöscht. Gesetzliche Aufbewahrungspflichten (z. B. aus Steuer- oder Handelsrecht im Zusammenhang mit Pro-Abos) bleiben unberührt.

Dir stehen folgende Rechte nach der DSGVO zu:

• Art. 15 – Auskunft über die zu deiner Person gespeicherten Daten
• Art. 16 – Berichtigung unrichtiger Daten
• Art. 17 – Löschung („Recht auf Vergessenwerden")
• Art. 18 – Einschränkung der Verarbeitung
• Art. 20 – Datenübertragbarkeit in einem strukturierten, gängigen Format
• Art. 21 – Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
• Art. 7 Abs. 3 – Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (z. B. Push-Benachrichtigungen, Throwback-Funktion, Geburtstags-Erinnerungen durch Leeren der Geburtstags-Felder)

Zur Ausübung deiner Rechte genügt eine formlose Nachricht an kontakt@mi-ai.de.

Recht auf Löschung in der App: Du kannst deinen Account jederzeit selbst löschen über Profil → Konto-Verwaltung → Konto löschen. Damit werden alle mit deinem Account verknüpften personenbezogenen Daten aus unseren aktiven Datenbanken entfernt – Profil, Alben, Eintragsseiten, hochgeladene Bilder/Audio, Freundschaften, deine Bewertungen, Push Tokens, dein RevenueCat-Subscriber-Eintrag sowie dein Firebase-Auth-Eintrag. Ein laufendes Pro-Abo kannst du ausschließlich im jeweiligen App Store (Apple / Google) selbst kündigen – wir haben darauf technisch keinen Zugriff.

Hinweis zu bereits gedruckten oder heruntergeladenen Kopien: Wenn dein Beitrag – oder ein Album, das deinen Beitrag enthält – vor deiner Löschung bereits als PDF heruntergeladen oder als physisches Buch gedruckt wurde, können wir naturgemäß nicht mehr darauf zugreifen. Die Kopie befindet sich dann ausschließlich im persönlichen Besitz der jeweiligen Albumbesitzer:in und fällt unter die Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO. Die Löschung in unseren Systemen (App + Backend) bleibt davon unberührt.

Beschwerderecht: Du hast jederzeit das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Wir setzen technische und organisatorische Maßnahmen nach dem Stand der Technik ein, insbesondere:

• Verschlüsselte Übertragung (TLS) zwischen App und Backend
• Firebase App Check (Play Integrity / App Attest) gegen API-Missbrauch durch Drittanwendungen
• Firestore Security Rules: das pro-Feld kann ausschließlich serverseitig gesetzt werden, niemals durch den Client; Album-Eintragsseiten sind erst nach eigener Einreichung lesbar; eingeladene Nutzer sehen ein Album nur nach gültiger, nicht abgelaufener Einladung; Discover-Sichtbarkeit (showcase) und Bewertungs-Aggregate sind serverseitig schreibgeschützt; Längen-Limits für freie Textfelder (Album-Titel, Anzeigename, Handle) werden in den Rules erzwungen
• Storage Security Rules: Hintergrundbilder, Zeichnungen, Sprachnotizen und eingebettete Fotos können nur vom jeweiligen Eigentümer:in geschrieben, und nur von angemeldeten Nutzern (bzw. eingeladenen Album-Mitgliedern) gelesen werden
• Serverseitige Auth-Prüfung bei jeder schreibenden Cloud Function
• HMAC-signierte RevenueCat-Webhooks mit Replay-Schutz und Idempotenz-Dedupe
• Automatische Ablauf-Logik für geteilte Alben (4-Tage-Regel für E-Mail-Einladungen, 7-Tage-Regel für Link-Einladungen)
• Dedupe-Schutz für die Geburtstags-Erinnerung, damit Freund:innen pro Geburtstag maximal eine Erinnerungsserie erhalten

Die App nutzt keine klassischen Cookies und kein Werbe-Tracking. Es findet keine Analyse deines Verhaltens zu Werbezwecken statt. Wir setzen weder AdMob noch vergleichbare Werbenetzwerke ein. Push-Benachrichtigungen werden ausschließlich für die in §3.7 beschriebenen Anlässe eingesetzt – niemals für Werbung.

Die App richtet sich an Personen ab 16 Jahren. Bei offensichtlich jüngeren Nutzern behalten wir uns die Sperrung des Accounts vor. Wenn du unter 16 Jahre alt bist, melde dich bitte ab und lasse deine Erziehungsberechtigten die Entscheidung über die Nutzung treffen.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Verarbeitung oder die eingesetzten Dienstleister ändern. Jede neue Version erhält eine fortlaufende Versionsnummer. Nach einem Update wirst du beim nächsten Start der App aufgefordert, der aktuellen Version zuzustimmen. Ohne erneute Zustimmung kannst du die App nicht weiter nutzen – du kannst dich stattdessen abmelden und deinen Account ggf. löschen lassen.

Frühere Versionen kannst du jederzeit in der App einsehen (Profil → Datenschutzerklärung).