Datenschutzerklärung

Diese Datenschutzerklärung gilt für die Nutzung der Notaly-App sowie aller zugehörigen Dienste und Websites (nachfolgend gemeinsam „Dienst").

Stand: April 2025

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

(nachfolgend „wir" oder „Notaly")

Bei Fragen zum Datenschutz wenden Sie sich bitte per E-Mail an: notaly@gmx.de

2. Überblick der Verarbeitungstätigkeiten

Wir verarbeiten personenbezogene Daten zu folgenden Hauptzwecken:

3. Registrierung und Account-Verwaltung

Für die Nutzung des Dienstes ist eine Registrierung erforderlich. Dabei erheben wir:

• Vor- und Nachname
• E-Mail-Adresse
• Passwort (gespeichert ausschließlich als gesicherter Hash; das Klartext-Passwort wird nicht gespeichert)
• Datum und Uhrzeit der Registrierung sowie des letzten Logins
• E-Mail-Verifikationsstatus
• Optional: Profilbild (Avatar)

Zweck: Bereitstellung und Verwaltung Ihres Nutzerkontos, Authentifizierung, Kommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für das optional hochgeladene Profilbild: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Speicherdauer: Account-Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Löschung des Accounts werden die Daten entsprechend der unter Ziffer 12 genannten Fristen aufbewahrt.

4. Zugriffsdaten und Server-Logs

Bei jeder Nutzung des Dienstes werden auf unseren Servern automatisch technische Verbindungsdaten gespeichert, insbesondere:

• IP-Adresse des zugreifenden Endgeräts
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und HTTP-Methode
• HTTP-Statuscode
• Übertragene Datenmenge
• User-Agent (Geräteinformationen des Browsers / der App)

Zweck: Technischer Betrieb, Fehlerbehebung, Sicherheitsüberwachung und Missbrauchsprävention.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb des Dienstes).

Speicherdauer: Server-Logs werden spätestens nach sieben (7) Tagen automatisch gelöscht.

5. Nutzer-Inhalte: Fotos, Texte und Metadaten

Zur Erstellung der Familienzeitung können Nutzer Fotos (Bilddateien) und Texte hochladen und in der App speichern.

5.1 Verarbeitete Datenkategorien

• Hochgeladene Bilddateien (Fotos)
• Texte und Beiträge für die Familienzeitung
• Bildbearbeitungsdaten (Zuschnitt, Rotation, Zoom)

5.2 EXIF-Metadaten und GPS-Koordinaten

Zweck: Erstellung der Familienzeitung, Anzeige des Aufnahmezeitpunkts, zukünftige standortbezogene Funktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für GPS-Standortdaten: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, die Sie in der App erteilen können).

Speicherdauer:

• Einer Zeitungsausgabe zugeordnete Nutzer-Inhalte werden vier (4) Wochen nach Versand der jeweiligen Ausgabe gelöscht.
• Nutzer-Inhalte ohne gebuchte Ausgabe werden sechs (6) Monate nach dem Hochladen gelöscht.
• PDFs der erstellten Ausgaben werden acht (8) Wochen nach Ablauf des gebuchten Pakets gelöscht.
• Mit der Löschung des Accounts werden alle verbleibenden Nutzer-Inhalte gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

5.3 Fotos von Dritten (Recht am eigenen Bild)

Wenn Sie Fotos hochladen, auf denen erkennbar Dritte abgebildet sind, liegt die Verantwortung für das Einholen der erforderlichen Einwilligung (§ 22 KUG; Art. 6 DSGVO) ausschließlich bei Ihnen als Nutzer. Wir verarbeiten diese Fotos auf Grundlage Ihrer Weisung und im Rahmen unserer Auftragsverarbeitereigenschaft für den jeweiligen Admin-Nutzer.

6. Abonnement und Zahlungsdaten

Bei Buchung eines kostenpflichtigen Abonnements erheben wir zusätzlich:

• Rechnungsadresse (Vorname, Nachname, Straße, Hausnummer, PLZ, Ort, Land)
• Lieferadresse(n) für die Printausgaben
• Zahlungsstatus und Stripe-Zahlungsreferenz
• Gewähltes Paket (Anzahl Ausgaben, Versandintervall, Preis)

Zahlungsabwicklung durch Stripe

Die Zahlungsabwicklung erfolgt ausschließlich über den Zahlungsdienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland (nachfolgend „Stripe").

Stripe verarbeitet Ihre Zahlungsdaten (Kartennummer, Ablaufdatum, CVV) direkt auf seinen Servern. Notaly hat keinen Zugriff auf Ihre vollständigen Zahlungsdaten und speichert diese nicht. Notaly speichert lediglich die von Stripe übermittelte Zahlungsreferenz (Payment Intent ID) und den Zahlungsstatus.

Stripe ist gemäß Art. 28 DSGVO als Auftragsverarbeiter tätig; ein entsprechender Auftragsverarbeitungsvertrag (AVV/DPA) mit Stripe ist abgeschlossen. Für Datenübermittlungen in die USA durch Stripe gelten die Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen finden Sie in der Datenschutzrichtlinie von Stripe: https://stripe.com/de/privacy

Zweck: Zahlungsabwicklung und Rechnungsstellung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Kaufdaten (Name, Anschrift, Paket, Zahlungsreferenz) werden aus steuer- und handelsrechtlichen Gründen zehn (10) Jahre aufbewahrt (§§ 147 AO, 257 HGB; Fristbeginn: 1. Januar des Folgejahres).

7. Push-Benachrichtigungen (Firebase Cloud Messaging)

Unsere App nutzt den Push-Dienst Firebase Cloud Messaging (FCM) von Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (für Nutzer im Europäischen Wirtschaftsraum handelnd über Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; nachfolgend „Firebase" oder „Google").

Bei Aktivierung von Push-Benachrichtigungen werden folgende Daten erhoben und verarbeitet:

• FCM-Token (gerätespezifische anonyme Zustelladresse, die von Google generiert wird)
• Bezeichnung des Geräts (optional, zur Anzeige in Ihren Account-Einstellungen)
• Datum der letzten Nutzung des Tokens

Notaly überträgt zur Zustellung von Push-Nachrichten den FCM-Token und den Nachrichteninhalt an Google-Server. Google verarbeitet diese Daten gemäß seiner eigenen Datenschutzrichtlinie.

Datenübermittlung in die USA: FCM-Daten können auf Servern von Google LLC in den USA verarbeitet werden. Grundlage ist der Abschluss von Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Mit Google ist ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Weitere Informationen: https://policies.google.com/privacy

Arten von Push-Benachrichtigungen:

• Neuer Beitrag in Ihrer Familienzeitung
• Neues Mitglied hat Ihrer Zeitung beigetreten
• Statusänderungen Ihrer Bestellung (Druck, Versand, Zustellung)
• Hinweis auf fehlende Bilder im Layout

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie erteilen die Einwilligung, wenn Sie in der App oder auf Betriebssystemebene Push-Benachrichtigungen aktivieren.

Widerruf: Sie können Push-Benachrichtigungen jederzeit in den App-Einstellungen oder den Systemeinstellungen Ihres Geräts deaktivieren:

• iOS → Einstellungen → Mitteilungen → Notaly
• Android → Einstellungen → Apps → Notaly → Benachrichtigungen

Nach dem Widerruf werden keine weiteren Benachrichtigungen gesendet. Der FCM-Token wird aus Ihrer Account-Verwaltung entfernt.

Speicherdauer: FCM-Tokens werden für die Dauer der aktiven Nutzung des Dienstes gespeichert und nach Account-Löschung oder dauerhafter Deaktivierung gelöscht.

8. Transaktionale E-Mails und E-Mail-Benachrichtigungen

Wir senden Ihnen transaktionale E-Mails im Rahmen des Vertragsverhältnisses, darunter:

• Registrierungsbestätigung (E-Mail-Verifizierung)
• Buchungsbestätigungen und Rechnungen
• Passwort-Reset-E-Mails
• Statusbenachrichtigungen (z. B. Druck gestartet, Versand erfolgt)
• Hinweise auf fehlende Bilder im Layout (sofern aktiviert)

Der E-Mail-Versand erfolgt über unseren SMTP-Anbieter. Die E-Mail-Korrespondenz wird für die Bearbeitung Ihrer Anfragen und Dokumentation gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation) für Support-Korrespondenz.

Speicherdauer: E-Mail-Korrespondenz wird nach abschließender Bearbeitung bzw. nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht.

Sie können E-Mail-Benachrichtigungen für einzelne Ereignistypen jederzeit in den App-Einstellungen deaktivieren.

9. Feedback, Fehlermeldungen und Support

Wenn Sie uns Feedback senden oder einen Fehler melden, erheben wir:

• Den Inhalt Ihrer Rückmeldung (Freitext)
• Optional: einen Screenshot des Fehlers (als Bilddatei gespeichert)
• Ihren Nutzernamen und Ihre E-Mail-Adresse (aus Ihrem Account)
• Zeitpunkt der Übermittlung

Zweck: Bearbeitung Ihrer Anfrage, Fehlerbehebung, Produktverbesserung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes und effizienter Kundenbetreuung).

Speicherdauer: Feedback-Einträge werden nach abschließender Bearbeitung oder nach längstens zwei (2) Jahren gelöscht.

10. Druckproduktion und Versand

Für die Produktion der Printausgaben der Familienzeitung werden die notwendigen Nutzer-Inhalte (Fotos, Texte, Layout-Daten) sowie die Lieferadresse an unsere Druckpartner übermittelt. Diese sind als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden.

Der Versand der Printausgaben erfolgt über Postdienstleister (z. B. Deutsche Post AG). Dazu wird die Lieferadresse an den Versanddienstleister übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Die Druckpartner und Versanddienstleister befinden sich in Deutschland; es findet keine Übermittlung in Drittstaaten außerhalb der EU/des EWR statt.

11. Auftragsverarbeiter und Drittempfänger

Wir setzen folgende Auftragsverarbeiter ein, mit denen jeweils ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen wurde:

Eine darüber hinausgehende Weitergabe personenbezogener Daten an Dritte erfolgt nicht, es sei denn, Notaly ist gesetzlich dazu verpflichtet (z. B. aufgrund behördlicher Anforderung) oder hat eine ausdrückliche Einwilligung des Betroffenen.

12. Speicherdauer

Nach Ablauf der jeweiligen Frist werden die Daten unwiderruflich gelöscht oder irreversibel anonymisiert, sofern keine länger laufende gesetzliche Aufbewahrungspflicht besteht.

13. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (TOM) ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen:

• Verschlüsselte Datenübertragung über HTTPS/TLS für alle API-Verbindungen
• Speicherung von Passwörtern ausschließlich als bcrypt-Hash
• JWT-basierte Authentifizierung mit begrenzter Token-Laufzeit
• Zugriffskontrolle: Nutzer können nur auf eigene und freigegebene Inhalte zugreifen
• Regelmäßige Datensicherungen (Backups) der Datenbank
• Objektspeicher mit Zugriffssteuerung (nicht öffentlich zugänglich)

Trotz aller Maßnahmen kann eine vollständige Sicherheit bei der Datenübertragung über das Internet nicht garantiert werden.

14. Ihre Rechte als betroffene Person

Sie haben gegenüber Notaly folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)

Sie können jederzeit Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten, sowie über die Zwecke, Kategorien, Empfänger und Speicherdauer.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Sie können Ihre Stammdaten (Name, E-Mail, Adresse) jederzeit selbst in Ihrem Account-Profil aktualisieren.

Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern einer der gesetzlich vorgesehenen Gründe vorliegt (z. B. die Daten für die verfolgten Zwecke nicht mehr benötigt werden). Zur Account-Löschung wenden Sie sich bitte an notaly@gmx.de.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Unter den gesetzlichen Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen, z. B. während der Überprüfung eines Widerspruchs.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Für Daten, die Sie uns auf Grundlage einer Einwilligung oder zur Vertragserfüllung bereitgestellt haben, haben Sie das Recht, diese in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

Widerspruchsrecht (Art. 21 DSGVO)

Soweit wir Ihre Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, können Sie dieser Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit wir Daten auf Grundlage Ihrer Einwilligung verarbeiten (z. B. Push-Benachrichtigungen, GPS-Standortdaten aus Foto-Metadaten), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Die für Notaly zuständige Aufsichtsbehörde ist:

Das Beschwerderecht kann auch bei der Aufsichtsbehörde Ihres Wohnsitzes oder Arbeitsplatzes geltend gemacht werden.

So erreichen Sie uns

Um Ihre Rechte auszuüben oder Fragen zum Datenschutz zu stellen, wenden Sie sich per E-Mail an: notaly@gmx.de

Wir beantworten Ihre Anfrage innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO). Bei komplexen oder zahlreichen Anfragen kann diese Frist um weitere zwei Monate verlängert werden; wir informieren Sie in diesem Fall rechtzeitig.

15. Änderungen dieser Datenschutzerklärung

Notaly behält sich vor, diese Datenschutzerklärung bei Änderungen des Dienstes, geänderter Rechtslage oder anderer Gründe anzupassen. Die jeweils aktuelle Fassung ist in der App und auf der Website abrufbar. Bei wesentlichen Änderungen werden wir Sie per E-Mail oder über eine In-App-Mitteilung informieren. Das Datum der letzten Aktualisierung ist oben auf dieser Seite angegeben.

Kontakt

Notaly UG (haftungsbeschränkt)
Arcis Str. 21
80333 München
E-Mail: notaly@gmx.de

Stand: April 2025