1. Auf einen Blick
Thanxful ist eine Anwendung, die es Ihnen ermöglicht, ein persönliches Dankbarkeitstagebuch zu führen und – sofern Sie es wünschen – KI-gestützte Einsichten zu Ihren Einträgen zu erhalten. Ihr Tagebuch gehört Ihnen. Wir greifen ausschließlich zur Erbringung des Dienstes auf Ihre Einträge zu; wir verkaufen sie niemals, nutzen sie nicht für Werbung und lassen sie nicht zum Training von KI-Modellen verwenden.
| Thema | Kurzantwort |
|---|---|
| Verantwortlicher | Kadir Alan — Einzelunternehmer (şahıs şirketi), Türkei. Kontakt: [email protected]. |
| Welche Daten werden verarbeitet? | E-Mail, Name, Profilbild (optional), Ihre Tagebucheinträge, Stimmung, Geräte- und Abonnementinformationen. |
| Warum? | Zur Erbringung des Dienstes, zur Abonnementverwaltung, zum Versand von Erinnerungsbenachrichtigungen und – nur sofern Sie ausdrücklich eingewilligt haben – zur Erzeugung KI-gestützter Einsichten aus Ihren Einträgen. |
| Mit wem werden sie geteilt? | Mit unseren Dienstleistern: Google Firebase (Infrastruktur), OpenAI und Google Gemini (KI), RevenueCat (Abonnement), Apple (Anmeldung, Benachrichtigung, Sicherheit). Ihre Daten werden weder verkauft noch vermietet. |
| Wo werden sie gespeichert? | Ihr Konto und Ihr Tagebuch in der Europäischen Union (Google Cloud europe-west1, Belgien). Ihre Tagebucheinträge werden nur dann in die USA übermittelt, wenn Sie die KI-Funktion aktivieren. |
| Wie lange? | Bis zur Löschung Ihres Kontos. Bei Löschung werden Ihre Daten unverzüglich aus unseren aktiven Systemen entfernt; aus Sicherungen und Protokollen werden sie innerhalb von 30 Tagen gelöscht. |
| Welche Rechte haben Sie? | Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch und Widerruf der Einwilligung. Schreiben Sie an [email protected] mit dem Betreff Datenschutz; wir antworten innerhalb von 30 Tagen. |
2. Identität des Verantwortlichen
Die Anwendung Thanxful wird von Kadir Alan bereitgestellt, der in der Türkei in der Rechtsform eines Einzelunternehmers (şahıs şirketi) tätig ist.
| Verantwortlicher | Kadir Alan — Einzelunternehmer (şahıs şirketi), Türkei |
| Kontakt | [email protected] (die Angabe von Datenschutz in der Betreffzeile hilft uns, Ihr Anliegen korrekt zuzuordnen) |
Da wir als Einzelunternehmer unterhalb der Eintragungsschwelle des KVKK-Verantwortlichenregisters (VERBİS) sowie unterhalb der Bestellschwelle für einen Datenschutzbeauftragten gemäß GDPR Art. 37 liegen, besteht für uns keine Pflicht zur VERBİS-Registrierung oder zur Bestellung eines Datenschutzbeauftragten. Sollte sich diese Sachlage ändern, wird die vorliegende Erklärung entsprechend aktualisiert. Eine ladungsfähige Postanschrift können Sie unter [email protected] anfragen; die Anschrift wird Ihnen auf Anfrage mitgeteilt.
3. Anwendungsbereich
Die vorliegende Erklärung erfasst:
- die im Apple App Store veröffentlichte Thanxful iOS-Anwendung (
com.aota.thanxfulsowie die Beta-Versioncom.aota.thanxful.beta); - die Website
thanxful.app(Marketingseiten, die vorliegenden Rechtstexte sowie verbundene Inhalte).
Die Datenschutzpraktiken von Drittanbieterdiensten, zu denen Sie aus der Anwendung oder der Website weitergeleitet werden (z. B. Apple App Store, OpenAI, RevenueCat), unterliegen den jeweils eigenen Richtlinien dieser Dienste; insoweit besteht keine Verantwortlichkeit des Verantwortlichen.
4. Kategorien verarbeiteter personenbezogener Daten
Es werden ausschließlich diejenigen personenbezogenen Daten verarbeitet, die für die Erbringung des Dienstes erforderlich sind. Die Daten werden in sechs Kategorien zusammengefasst:
4.1 Identitätsdaten
Bei der Erstellung Ihres Kontos werden folgende Daten verarbeitet:
- E-Mail-Adresse (zwingend erforderlich).
- Name/Anzeigename (optional; jederzeit änderbar oder leer zu lassen).
- Profilbild (optional; gespeichert in Firebase Storage).
- Eine vom System automatisch erzeugte Firebase-Benutzerkennung.
- Bei Verwendung von Sign in with Apple: Ihre E-Mail-Adresse (echt oder als private Weiterleitungsadresse von Apple) sowie, sofern Sie diesen freigeben möchten, Ihr vollständiger Name. Apple übermittelt uns Ihre Apple ID nicht.
4.2 Tagebuchinhalte — können besondere Kategorien personenbezogener Daten enthalten
Für jeden gespeicherten Eintrag werden folgende Daten verarbeitet:
- Eintragstext (höchstens 3.000 Zeichen).
- Rich-Text-Formatierung (fett, kursiv, Listen — höchstens 30.000 Zeichen, kodiert).
- Optionale Stimmungsauswahl.
- Angaben zur beantworteten Eingabeaufforderung (sofern vorhanden).
- Lokales Kalenderdatum.
Tagebuchinhalte sind persönlich und sensibel. Gemäß Art. 6 KVKK und Art. 9 GDPR können Tagebuchtexte besondere Kategorien personenbezogener Daten enthalten, die Ihre Gesundheit, religiösen Überzeugungen, politischen Auffassungen, Ihr Sexualleben oder Ihre Gewerkschaftszugehörigkeit betreffen. Aus diesem Grund hängt die Verarbeitung Ihrer Tagebuchinhalte durch Künstliche Intelligenz vollständig von Ihrer ausdrücklichen Einwilligung ab (siehe §6).
4.3 Profil- und Präferenzdaten
- Streak-Informationen (aktueller und längster Streak).
- Letzter Aktivitätszeitpunkt und Zeitzone (IANA-Zeitzone Ihres Geräts, z. B.
Europe/Istanbul). - Sprachpräferenz (Ihre Auswahl aus einer Liste von 30 Sprachen).
- Themenpräferenz (Espresso, Cosmos, Oat usw.).
- Benachrichtigungseinstellungen: ob Erinnerungen aktiviert oder deaktiviert sind, Erinnerungszeit und Zeitzone.
- Abonnementstatus: ob ein aktives Premium-Abonnement besteht (über RevenueCat; siehe §7).
- KI-Einwilligungsprotokoll — ein ausschließlich anhängender (append-only) Datensatz, in dem Erteilung, Ablehnung oder Widerruf Ihrer Einwilligung einschließlich Quelle (Onboarding, nach Eintrag, nach Kauf oder Einstellungen), Zeitstempel und Anzahl der angezeigten Eingabeaufforderungen erfasst werden. Dieses Protokoll wird gemäß Apple App Store Review Guideline 5.1.2(i) geführt.
4.4 Geräte- und Nutzungsdaten
Bei der Nutzung der Anwendung werden folgende Daten automatisch verarbeitet:
- Geräteinformationen: Modell, Betriebssystemversion, Anwendungsversion, Spracheinstellung, Land, Zeitzone und die interne Anwendungsinstanzkennung von Firebase.
- FCM-Benachrichtigungstoken — der von Firebase Cloud Messaging Ihrem Gerät zugewiesene Token, mit dem Erinnerungen versendet werden können. Dieser wird in Firestore in Verbindung mit Ihrem Konto gespeichert und nach Neuinstallation oder Abmeldung erneuert.
- Ereignisdaten: Metadaten wie etwa, welchen Bildschirm Sie in der Anwendung aufgerufen haben, ob Sie einen Eintrag gespeichert, eine Einsicht geöffnet oder einen Kaufvorgang gestartet haben — wobei der Inhalt Ihrer Einträge in diesen Aufzeichnungen nicht enthalten ist.
- Absturzberichte über Firebase Crashlytics (Stack-Trace, Gerätezustand zum Zeitpunkt des Absturzes). In Debug-Builds ist Crashlytics deaktiviert; in den an Nutzer ausgelieferten Builds ist es aktiviert.
Folgende Daten werden nicht verarbeitet:
- Ihre IP-Adresse innerhalb der Anwendung (Firebase Analytics legt uns diese Information nicht offen).
- Ihre Werbekennung (IDFA) — es wird die Variante von Firebase ohne AdSupport verwendet, und Signale zur Werbepersonalisierung sind deaktiviert.
4.5 Abonnementdaten
Beim Erwerb eines Thanxful-Abonnements:
- Die Transaktion wird durch Apple (App Store) durchgeführt. Ihre Zahlungsmethode oder Kartendaten werden nicht an uns übermittelt.
- RevenueCat verwaltet den Abonnement-Lebenszyklus in unserem Namen. An RevenueCat wird Ihre Firebase-Benutzerkennung übermittelt; RevenueCat übermittelt uns Produktkennung, Status, Ablaufdatum und Verlängerungsdatum.
4.6 Kommunikation und Rückmeldungen
- Support-E-Mails, die Sie an
[email protected]senden. - Aus der Anwendung übermittelte Funktionswünsche und Fehlermeldungen (zur Missbrauchsverhinderung tageweise begrenzt). Der von Ihnen verfasste Text, Ihre Benutzerkennung und der Übermittlungszeitpunkt werden gespeichert. Bei Löschung Ihres Kontos werden Rückmeldungen anonymisiert (die Benutzerkennung wird durch
"deleted_user"ersetzt); der Text selbst wird nicht gelöscht, jedoch wird die Verbindung zu Ihrer Person aufgehoben.
4.7 Onboarding-Probelauf (vor Kontoerstellung)
Wenn Sie vor der Kontoerstellung eine einzelne KI-Einsicht ausprobieren möchten, werden folgende Daten verarbeitet:
- Eine vom Gerät erzeugte Geräte-UUID (nicht die IDFA).
- Eine mittels SHA-256 gehashte IP-Adresse (die rohe IP-Adresse wird nicht gespeichert).
- Ein Apple DeviceCheck-Token (zur Verhinderung wiederholter Probeläufe je Gerät).
Diese Daten werden ausschließlich zur Begrenzung des Probelaufs (einmal pro Gerät und Tag, 20-mal pro globaler IP und Tag) sowie zur Missbrauchsverhinderung kurzzeitig verarbeitet.
4.8 Sicherheit
- Ihr App-Sperrcode (sofern Sie diesen aktivieren) wird ausschließlich im iOS Keychain Ihres Geräts gespeichert; er verlässt Ihr Telefon nicht. Ihre biometrischen Daten (Face ID / Touch ID) verbleiben in der Apple Secure Enclave und werden uns nicht übermittelt.
5. Verarbeitungszwecke und Rechtsgrundlagen
Der Zweck und die Rechtsgrundlage jeder Verarbeitungstätigkeit gemäß Art. 5–6 KVKK und Art. 6 GDPR sind nachstehend tabellarisch dargestellt:
| Verarbeitungstätigkeit | Zweck | Rechtsgrundlage KVKK | Rechtsgrundlage GDPR |
|---|---|---|---|
| Konto erstellen und Einträge speichern | Grundlegende Erbringung des Dienstes | Art. 5(2)(c) — Begründung und Erfüllung des Vertrages | Art. 6(1)(b) — Erfüllung des Vertrages |
| KI-Einsichten aus Tagebucheinträgen erzeugen | Nur sofern Sie ausdrücklich eingewilligt haben | Art. 6(2) — ausdrückliche Einwilligung für besondere Kategorien personenbezogener Daten | Art. 6(1)(a) + Art. 9(2)(a) — ausdrückliche Einwilligung für besondere Kategorien personenbezogener Daten |
| Tägliche Dankbarkeitserinnerungen versenden | Sofern Sie diese in den Einstellungen aktivieren | Art. 5(1) — ausdrückliche Einwilligung | Art. 6(1)(a) — Einwilligung |
| Abonnement über Apple und RevenueCat abwickeln | Erbringung des erworbenen Dienstes | Art. 5(2)(c) — Erfüllung des Vertrages | Art. 6(1)(b) — Vertrag |
| Absturzberichte und kumulative Produktanalytik | Bereitstellung einer zuverlässigen und stabilen Anwendung | Art. 5(2)(f) — berechtigtes Interesse | Art. 6(1)(f) — berechtigtes Interesse |
| Maßnahmen zur Missbrauchsverhinderung (DeviceCheck, IP-Hashing, Kontingentgrenzen) | Verhinderung von Betrug und Kostenmissbrauch | Art. 5(2)(f) — berechtigtes Interesse | Art. 6(1)(f) — berechtigtes Interesse |
| Aufbewahrung von Zahlungsunterlagen für Steuern und Buchhaltung | Erfüllung gesetzlicher Pflichten | Art. 5(2)(a) — rechtliche Verpflichtung | Art. 6(1)(c) — rechtliche Verpflichtung |
| Beantwortung rechtmäßiger Anfragen zuständiger Behörden | Gesetzliche Verpflichtung | Art. 5(2)(a) — rechtliche Verpflichtung | Art. 6(1)(c) — rechtliche Verpflichtung |
Wir verarbeiten Ihre Daten nicht zu Profiling-Zwecken, treffen keine automatisierten Entscheidungen mit erheblichen Auswirkungen auf Sie und verkaufen oder vermieten Ihre personenbezogenen Daten nicht.
6. Verarbeitung Ihrer Tagebuchinhalte durch Künstliche Intelligenz
Der vorliegende Abschnitt wurde sowohl im Rahmen der Apple App Store Review Guideline 5.1.2(i) als auch eigens für Sie als Inhaber des Tagebuchs verfasst.
Was geschieht?
Sofern Sie ausdrücklich einwilligen, übermittelt Thanxful ausgewählte Tagebucheinträge an Drittanbieter von KI-Diensten; diese Anbieter erzeugen sodann:
- Sofortige Einsichten — eine kurze Reflexion zu einem einzelnen Eintrag.
- Wöchentliche Zusammenfassungen — eine zusammenfassende Analyse der letzten 7 Tage.
- Monatliche Zusammenfassungen — eine vertiefte Analyse der letzten 30 Tage.
Durch wen werden Ihre Einträge verarbeitet?
- OpenAI (primärer Anbieter) — Modelle
gpt-4o-miniundgpt-4o. Die Server befinden sich in den USA. - Google Gemini (Ersatzanbieter, sofern OpenAI nicht erreichbar ist) — auf der globalen Infrastruktur von Google.
Welche Daten werden übermittelt?
- Die Eintragstexte des analysierten Zeitraums.
- Ihr Anzeigename (damit Sie in der Einsicht namentlich angesprochen werden können).
- Ihre Sprachpräferenz (damit die Einsicht in Ihrer Sprache erzeugt wird).
Welche Daten werden nicht übermittelt?
- Ihre E-Mail-Adresse.
- Streak-Informationen, Abonnementstatus oder sonstige Profildaten.
- Daten anderer Nutzer in keinerlei Form.
Speicherdauer beim Anbieter
- OpenAI speichert über die API eingehende Anfragen zum Zwecke der Missbrauchserkennung höchstens 30 Tage und löscht sie anschließend. OpenAI verwendet API-Daten nicht zum Modelltraining. (Quelle: OpenAI API-Bedingungen.)
- Google Gemini verwendet API-Daten standardmäßig nicht zum Modelltraining. (Quelle: Google Gemini API-Bedingungen.)
Ihre ausdrückliche Einwilligung
- Im Augenblick, in dem die KI erstmals zum Einsatz kommen kann — beim Onboarding, nach dem Speichern eines Eintrags oder nach einem Premium-Kauf — wird Ihre ausdrückliche Einwilligung eingeholt.
- Ihre Einwilligung wird in einem ausschließlich anhängenden Prüfprotokoll (
users/{uid}/aiConsent) festgehalten. - Sie können Ihre Einwilligung jederzeit widerrufen: Einstellungen → KI-Einwilligung. Der Widerruf beendet die zukünftige Verarbeitung unverzüglich. Bis dahin erzeugte Einsichten verbleiben in Ihrem Verlauf, bis Sie sie oder Ihr Konto löschen.
- Da Ihr Tagebuch besondere Kategorien personenbezogener Daten im Sinne des Art. 6 KVKK und Art. 9 GDPR enthalten kann, ist die Rechtsgrundlage für die Übermittlung an die KI-Anbieter Ihre ausdrückliche Einwilligung.
KI-Einsichten stellen keine medizinische, rechtliche oder therapeutische Beratung dar
Einsichten sind automatisch erzeugte Texte. Sie können fehlerhaft, irreführend oder kontextfremd sein. Sie ersetzen keine lizenzierten Therapeuten, Ärzte, Rechtsanwälte oder sonstige Fachpersonen. Sollten Sie sich in einer Notlage befinden, empfehlen wir Ihnen, sich an eine qualifizierte Fachperson zu wenden oder in Notfällen die örtlichen Notdienste in Anspruch zu nehmen.
7. Weitergabe und Dritte
Ihre personenbezogenen Daten werden ausschließlich mit den nachstehenden Dienstleistern und nur zu den angegebenen Zwecken geteilt. Jeder Anbieter ist vertraglich verpflichtet, Ihre personenbezogenen Daten ausschließlich nach unseren Weisungen zu verarbeiten und angemessene Sicherheitsmaßnahmen zu treffen.
| Anbieter | Rolle | Weitergegebene Daten | Region | Datenschutzerklärung |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruktur: Authentifizierung, Firestore, Storage, Cloud Functions, Benachrichtigungen, Analytik, Absturzberichte, Remote Config, App Check | Sämtliche Profildaten, Tagebucheinträge, FCM-Token, Analyseereignisse, Absturzberichte | Firestore und Cloud Functions in europe-west1 (Belgien, EU). Analytik und Crashlytics auf der globalen Infrastruktur von Google. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Erzeugung von KI-Einsichten | Tagebuchtext, Anzeigename, Sprache — nur bei Vorliegen Ihrer Einwilligung | USA | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Erzeugung von KI-Einsichten (Ersatzanbieter) | Identisch mit OpenAI | USA / global | https://policies.google.com/privacy |
| RevenueCat, Inc. | Abonnementverwaltung | Firebase-Benutzerkennung, Produktkennung, Abonnementstatus, Verlängerungsdatum | USA | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, APNs-Benachrichtigungen, DeviceCheck, App-Store-Zahlungen | Apple-ID-E-Mail, Benachrichtigungstoken, Geräte-Bit, Kaufnachweise | Apple-Infrastruktur | https://www.apple.com/legal/privacy/ |
Hinweis zu Meta / Facebook: In unserer Info.plist-Datei ist ausschließlich zur Aktivierung des URL-Schemas „Teilen mit Instagram Stories" die Erklärung FacebookAppID: 2198469434228743 enthalten. Es wird kein Facebook SDK eingesetzt; an Meta werden keinerlei Daten übermittelt. Wenn — und nur wenn — Sie sich für das Teilen entscheiden, wird das von Ihnen ausgewählte Bild über das iOS-Teilen-Sheet an die Instagram-Anwendung übergeben.
Anfragen zuständiger Behörden
Ihre personenbezogenen Daten werden zuständigen Behörden ausschließlich im Rahmen eines wirksamen Rechtsverfahrens in der Türkei oder eines wirksamen Rechtsverfahrens eines Landes mit Gerichtsbarkeit über uns offengelegt. Soweit gesetzlich zulässig, werden Sie über derartige Anfragen informiert.
Kein Datenverkauf
Ihre personenbezogenen Daten werden nicht verkauft. Im Sinne der Definitionen des CCPA/CPRA findet auch keine „Weitergabe" zu Zwecken kontextübergreifender verhaltensbezogener Werbung statt.
8. Übermittlung in Drittländer
Ihr Konto und Ihr Tagebuch werden innerhalb der Europäischen Union (Google Cloud europe-west1, Belgien) gespeichert.
Einige unserer Dienstleister sind in den Vereinigten Staaten ansässig:
- OpenAI und Google Gemini erhalten Ihre Tagebucheinträge (nur bei Vorliegen Ihrer Einwilligung) zum Zwecke der KI-Verarbeitung.
- RevenueCat verarbeitet Ihren Abonnementstatus.
- Bestimmte Dienste von Apple und Firebase werden auf globaler Infrastruktur betrieben.
Für diese Übermittlungen werden folgende Rechtsmechanismen herangezogen:
- Im Rahmen der GDPR: Die in den Datenverarbeitungsverträgen mit jedem Anbieter eingebundenen Standardvertragsklauseln (SCC) gemäß EU-Kommissionsbeschluss 2021/914; während und nach der Übermittlung angewandte technische Maßnahmen (Verschlüsselung, Zugriffskontrolle). Bei Anbietern mit einer Zertifizierung nach dem EU–US Data Privacy Framework wird zusätzlich diese Angemessenheitsentscheidung zugrunde gelegt.
- Im Rahmen der UK GDPR: Das den SCC beigefügte UK International Data Transfer Addendum (IDTA).
- Im Rahmen der KVKK: Es wird folgender mehrstufiger Schutzmaßnahmenkatalog herangezogen:
- Bei Aktivierung der KI-Funktion Ihre ausdrückliche Einwilligung gemäß Art. 9 KVKK für die Übermittlung Ihrer Tagebuchinhalte in die USA;
- die mit jedem Anbieter abgeschlossenen Datenverarbeitungsverträge (DPAs) — insbesondere der Google Cloud / Firebase DPA (der die SCC einschließt), das OpenAI API Data Processing Addendum sowie der RevenueCat DPA — als vertragliche Schutzmaßnahme;
- die in §11 aufgeführten technischen Maßnahmen (Verschlüsselung, App Check, Minimierung personenbezogener Daten in der Protokollierung).
Es ist unser Ziel, mit jedem Anbieter, der dem zustimmt, das von der türkischen Datenschutzbehörde herausgegebene Standart Sözleşme-Muster (Standardvertrag) zu unterzeichnen und der Behörde innerhalb von 5 Werktagen ab Unterzeichnung eine Anzeige zu erstatten. Sofern ein Anbieter das Mustervertragswerk der Behörde nicht akzeptiert und auf seinem eigenen DPA besteht, gilt der oben dargestellte Schutzmaßnahmenkatalog.
Eine Kopie der Übermittlungsschutzdokumente können Sie unter [email protected] anfordern.
9. Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie es erforderlich ist.
| Daten | Speicherdauer |
|---|---|
| Kontodaten (E-Mail, Name, Profil, Präferenzen) | Bis zur Löschung Ihres Kontos. |
| Tagebucheinträge, Stimmungen, Streak-Informationen | Bis Sie sie selbst löschen, die Inhaltsrücksetzung verwenden oder Ihr Konto löschen. |
| KI-Einwilligungsprotokoll | Während der Bestandsdauer des Kontos in ausschließlich anhängender Form (gemäß App Store 5.1.2(i)). Wird mit dem Konto gelöscht. |
| Erzeugte KI-Einsichten (sofortig, wöchentlich, monatlich) | Bis Sie sie selbst oder Ihr Konto löschen. |
| FCM-Benachrichtigungstoken | Bis Ihr Gerät sich abmeldet, Sie sich abmelden oder das Konto gelöscht wird. |
| Crashlytics-Absturzberichte | 90 Tage (Google-Standardeinstellung). |
| Firebase-Analytics-Ereignisdaten | 14 Monate (Google-Mindeststandardeinstellung). |
| Serverprotokolle (Cloud Logging) | 400 Tage (Eintragsinhalte werden nicht protokolliert; siehe §11). |
| Nachverfolgungsdaten (Cloud Trace) | 15 Tage. |
| Funktionswünsche / Fehlermeldungen | Werden zur Produktverbesserung gespeichert; bei Kontolöschung durch Entfernen der Benutzerkennung anonymisiert. |
| Zahlungsunterlagen (über Apple und RevenueCat) | Für die nach türkischem Steuer- und Handelsrecht vorgeschriebene Dauer — typischerweise 10 Jahre. |
Wenn Sie Ihr Konto löschen (Einstellungen → Erweitert → Konto löschen oder per E-Mail), werden Ihr Profil, Ihre Einträge, Einsichten, Erfolge, Ihr KI-Einwilligungsprotokoll und Ihre FCM-Token unverzüglich aus unseren aktiven Systemen entfernt. Bezüglich der Caches der Dienstleister, der Sicherungen und der Protokolle kann der Abschluss der Löschung bis zu 30 Tage in Anspruch nehmen.
10. Ihre Rechte
Je nach Ihrem Aufenthaltsland stehen Ihnen die nachstehenden Rechte ganz oder teilweise zu:
Art. 11 KVKK (Personen mit Wohnsitz in der Türkei):
- Auskunft darüber zu erhalten, ob Ihre personenbezogenen Daten verarbeitet werden.
- Sofern dies der Fall ist, Auskunft hierüber zu verlangen.
- Den Verarbeitungszweck und die zweckentsprechende Nutzung in Erfahrung zu bringen.
- Auskunft über die Empfänger der Übermittlung im In- oder Ausland zu erhalten.
- Bei unvollständiger oder unrichtiger Verarbeitung deren Berichtigung zu verlangen.
- Die Löschung oder Vernichtung gemäß Art. 7 KVKK zu verlangen.
- Zu verlangen, dass Berichtigungs-, Lösch- oder Vernichtungsverlangen den Empfängern der Übermittlung mitgeteilt werden.
- Gegen ein Sie nachteilig betreffendes Ergebnis einer ausschließlich automatisierten Analyse Widerspruch einzulegen.
- Bei Schäden infolge rechtswidriger Verarbeitung die Beseitigung des Schadens zu verlangen.
GDPR (Personen mit Wohnsitz in der EU/EWR und im Vereinigten Königreich):
- Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf der ausdrücklichen Einwilligung (Art. 7). Eine Selbstbedienungsoberfläche für den Datenexport steht derzeit noch nicht zur Verfügung; auf Anfrage per E-Mail übermitteln wir Ihnen Ihre Einträge und Profildaten in strukturiertem JSON-Format innerhalb von 30 Tagen.
CCPA / CPRA (Einwohner Kaliforniens):
- Recht auf Auskunft darüber, welche personenbezogenen Daten erhoben werden, sowie über deren Quellen, Zwecke und Empfänger.
- Recht auf Löschung und Berichtigung.
- Recht auf Widerspruch gegen den Verkauf/die Weitergabe personenbezogener Daten — wir verkaufen oder geben keine Daten weiter; ein Widerspruchsrecht besteht insoweit nicht.
- Recht auf Einschränkung der Verwendung sensibler personenbezogener Daten — sensible Daten (Ihre Tagebuchinhalte) werden ausschließlich zu den in §5 genannten Zwecken verwendet.
- Recht, infolge der Wahrnehmung Ihrer Rechte nicht diskriminiert zu werden.
Wie können Sie Ihre Rechte ausüben?
Senden Sie eine E-Mail an [email protected] mit dem Betreff Datenschutzanfrage und geben Sie an, welches Recht Sie ausüben möchten. Zur Identitätsprüfung können wir ergänzende Informationen anfordern (in der Regel durch die Bitte, von der für Ihr Konto hinterlegten E-Mail-Adresse zu antworten). Gemäß Art. 13 KVKK und Art. 12 GDPR wird Ihr Anliegen spätestens innerhalb von 30 Tagen erledigt. Sollte eine Fristverlängerung erforderlich werden, teilen wir Ihnen den Grund und den voraussichtlichen Antwortzeitpunkt mit.
Möchten Sie im Rahmen des CCPA über einen Bevollmächtigten einen Antrag stellen, können wir uns gleichwohl an Sie wenden, um die Vollmacht des Bevollmächtigten zu überprüfen.
Sofern Ihr Antrag nicht offensichtlich unbegründet oder exzessiv ist, ist die Wahrnehmung dieser Rechte unentgeltlich.
Beschwerdestellen
- Türkei: Kişisel Verileri Koruma Kurumu (KVKK) — https://www.kvkk.gov.tr/
- EU/EWR: Die Datenschutzbehörde Ihres Landes — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Vereinigtes Königreich: Information Commissioner's Office — https://ico.org.uk/
- Kalifornien: California Privacy Protection Agency — https://cppa.ca.gov/
11. Datensicherheitsmaßnahmen
Datensicherheit wird ab der Konzeptionsphase berücksichtigt. Die getroffenen technischen und organisatorischen Maßnahmen umfassen:
- Verschlüsselung bei der Übertragung — sämtlicher Netzwerkverkehr wird mit TLS 1.2+ verschlüsselt.
- Verschlüsselung bei der Speicherung — serverseitige AES-256-Verschlüsselung von Google Cloud.
- Authentifizierung — Firebase Auth; Passwörter werden niemals im Klartext gespeichert.
- App Check — Apple App Attest im Produktiv-Build; Anfragen aus nicht vertrauenswürdigen Quellen werden abgewiesen.
- Apple DeviceCheck — verhindert Missbrauch bei den Onboarding-Probeläufen.
- Strenge Firestore-Sicherheitsregeln — jeder Nutzer kann ausschließlich seine eigenen Daten lesen und schreiben.
- Isolation sensibler Daten — der App-Sperrcode wird ausschließlich im iOS Keychain gehalten; biometrische Daten verbleiben in der Apple Secure Enclave.
- PII-minimierte Protokollierung — Tagebuchinhalte werden in Serverprotokollen nicht erfasst; lediglich für Betrieb und Fehleranalyse erforderliche Metadaten (Benutzerkennung, Ereignistyp, Status) werden protokolliert.
- Verwaltung von Geheimnissen — API-Schlüssel (OpenAI, RevenueCat, Apple DeviceCheck) werden im Firebase Secret Manager hinterlegt; sie sind nicht im Quellcode enthalten.
Da kein System vollkommen sicher ist, gilt im Falle der Feststellung einer Verletzung des Schutzes personenbezogener Daten:
- Gemäß Art. 12 Abs. 5 KVKK erfolgt eine Meldung an die türkische Datenschutzbehörde innerhalb von 72 Stunden;
- gemäß Art. 33–34 GDPR erfolgen die erforderlichen Benachrichtigungen unmittelbar an in der EU/EWR ansässige Personen sowie an die zuständigen Behörden.
12. Kinder
Thanxful richtet sich nicht an Kinder unter 13 Jahren. Zur Nutzung des Dienstes müssen Sie mindestens 13 Jahre alt sein (siehe Nutzungsbedingungen §3). Befinden Sie sich im Alter zwischen 13 und 16 Jahren (in einigen EU-Mitgliedstaaten das digitale Einwilligungsalter), kann das Recht Ihres Aufenthaltslandes die Einwilligung eines Elternteils oder Vormunds erfordern. Gemäß Art. 15 des türkischen Zivilgesetzbuches (TMK) verfügen Minderjährige unter 18 Jahren nicht über die volle Vertragsfähigkeit; für Nutzer unter 18 Jahren wird die Zustimmung eines Elternteils oder Vormunds vorausgesetzt.
Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 13 Jahren. Sollten Sie als Elternteil oder Vormund vermuten, dass Ihr Kind ohne Ihr Wissen Daten übermittelt hat, schreiben Sie an [email protected]; die Daten werden gelöscht.
Die App-Store-Altersfreigabe der Anwendung (4+) bezieht sich darauf, dass die Inhalte der Anwendung für jedes Alter geeignet sind (keine Gewalt-, Sexual- oder Vulgärinhalte). Diese Inhaltsbewertung berührt das vertragliche Verbot der Nutzung unter 13 Jahren nicht.
Im Onboarding ist für Nutzer keine eigene Alterskontrolle (Age Gate) vorgesehen; das Mindestalter wird vertraglich durchgesetzt — dies entspricht der gängigen Praxis bei Tagebuch- und Wohlbefindensanwendungen.
13. Kalifornien (CCPA / CPRA) Erläuterungen
Sind Sie Einwohner Kaliforniens, gilt der vorliegende Abschnitt zusätzlich zum übrigen Inhalt dieser Erklärung.
Erhobene Kategorien personenbezogener Daten (in den letzten 12 Monaten)
| CCPA-Kategorie | Wird erhoben? | Quelle | Zweck | Empfänger |
|---|---|---|---|---|
| Kennungen (E-Mail, Benutzerkennung, Gerätekennung) | Ja | Sie; Ihr Gerät | Konto, Sicherheit, Analytik | Firebase, RevenueCat |
| California Customer Records (Cal. Civ. Code §1798.80) | Ja (Name) | Sie | Konto | Firebase |
| Geschützte Klassifizierungen | Nein | — | — | — |
| Geschäftliche Informationen (Abonnementverlauf) | Ja | Apple, RevenueCat | Erbringung des Abonnements | RevenueCat |
| Biometrische Daten | Nein (Face ID verbleibt auf dem Gerät) | — | — | — |
| Internet-/Netzwerkaktivität | Eingeschränkt (Anwendungsereignisse, Absturzberichte) | Ihr Gerät | Analytik, Zuverlässigkeit | Firebase |
| Standort | Nur grobe Ebene (Land / Zeitzone) | Ihr Gerät | Inhaltslokalisierung | Firebase |
| Audio / Bild | Profilbild (optional) | Sie | Profil | Firebase Storage |
| Berufliche oder beschäftigungsbezogene Daten | Nein | — | — | — |
| Bildung | Nein | — | — | — |
| Schlussfolgerungen | Nein | — | — | — |
| Sensible personenbezogene Daten | Tagebuchinhalte gelten als sensibel | Sie | KI-Einsichten (nur mit Einwilligung) | OpenAI, Google Gemini |
Ihre kalifornischen Rechte
- Wissen / Auskunft — siehe §10.
- Löschung / Berichtigung — siehe §10.
- Widerspruch gegen Verkauf/Weitergabe — wir verkaufen oder geben Ihre personenbezogenen Daten nicht weiter; ein Widerspruchsrecht besteht insoweit nicht.
- Einschränkung der Verwendung sensibler Daten — sensible Daten (Ihre Tagebuchinhalte) werden ausschließlich zu den in §6 erläuterten Zwecken und mit Ihrer ausdrücklichen Einwilligung verwendet.
- Keine Diskriminierung — bei Wahrnehmung dieser Rechte wird Ihr Zugang zum Dienst nicht eingeschränkt; Sie zahlen keinen abweichenden Preis und erhalten keine abweichende Qualität.
Für Anfragen schreiben Sie an [email protected] mit dem Betreff California Privacy Request. Wir bestätigen Ihre Identität über die zum Konto hinterlegte E-Mail-Adresse.
Es werden keine finanziellen Anreize im Gegenzug für personenbezogene Daten angeboten.
14. Cookies und vergleichbare Technologien
Innerhalb der iOS-Anwendung: Es werden keine Web-Cookies eingesetzt. Die Anwendung speichert ausschließlich auf Ihrem Gerät kleine Präferenzen (z. B. Theme, Sprache, Benachrichtigungspräferenz) in UserDefaults sowie den App-Sperrcode im iOS Keychain. Diese Daten werden weder mit uns noch mit Dritten geteilt.
Auf thanxful.app: Zum Zeitpunkt des Inkrafttretens der vorliegenden Erklärung verwendet die Marketingsite weder Cookies noch Web-Beacons oder Drittanbieter-Analyse-Tracker. Sollten zukünftig solche eingesetzt werden, wird der vorliegende Abschnitt aktualisiert, auf der Site ein Cookie-Einwilligungsbanner angezeigt und die Änderung gemäß §15 als wesentliche Änderung behandelt.
15. Änderungen der Erklärung
Die vorliegende Erklärung kann von Zeit zu Zeit aktualisiert werden. Bei wesentlichen Änderungen (Änderungen, die Ihre Rechte oder die Verarbeitung Ihrer Daten betreffen) werden Sie mindestens 30 Tage vor Inkrafttreten der Änderung per E-Mail und durch eine Mitteilung in der Anwendung informiert. Bei nicht wesentlichen Änderungen (Schreibkorrekturen, Klarstellungen) wird das Dokument aktualisiert und das oben angegebene Inkrafttretens-Datum aktualisiert.
Sollten Sie der neuen Fassung nicht zustimmen, können Sie die Nutzung des Dienstes vor dem Inkrafttreten beenden und Ihr Konto löschen.
16. Kontakt
Für sämtliche Fragen, Anliegen oder Beschwerden zum Datenschutz:
- E-Mail:
[email protected](Betreff:Datenschutz) - Verantwortlicher: Kadir Alan — Einzelunternehmer (şahıs şirketi), Türkei
Sollte eine ladungsfähige Postanschrift erforderlich sein, wenden Sie sich zunächst per E-Mail an [email protected]; die Anschrift wird Ihnen auf Anfrage mitgeteilt.
Die zuständigen Aufsichtsbehörden, bei denen Beschwerde erhoben werden kann, sind in §10 aufgeführt.
17. Glossar
- KVKK — Gesetz Nr. 6698 über den Schutz personenbezogener Daten (Türkei).
- GDPR — Verordnung (EU) 2016/679 über die allgemeine Datenschutz-Grundverordnung der Europäischen Union.
- CCPA / CPRA — California Consumer Privacy Act in der durch den California Privacy Rights Act geänderten Fassung.
- COPPA — Children's Online Privacy Protection Act (USA, unter 13 Jahren).
- FCM — Firebase Cloud Messaging (Benachrichtigungsinfrastruktur).
- Besondere Kategorien personenbezogener Daten / sensible Daten — gemäß Art. 6 KVKK und Art. 9 GDPR Datenarten wie Gesundheit, Religion, politische Meinung, Sexualleben usw., die einen erhöhten Schutz erfordern.
- Verantwortlicher — die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und für die Errichtung und Verwaltung des Datenverarbeitungssystems verantwortlich ist (hier: Kadir Alan).
- Ausdrückliche Einwilligung — eine bezogen auf einen bestimmten Sachverhalt informiert und in freier Willensentscheidung erteilte Einwilligung.
Wir danken Ihnen, dass Sie uns auf Ihrem Weg der Dankbarkeit Ihr Vertrauen schenken.
— Thanxful