Datenschutzerklärung

1. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO

TODO[CEO 全名]
TODO[街道 + 门牌号]
TODO[邮编 + 城市]
Deutschland
E-Mail: datenschutz@treffnah.de

Handelnd unter der Marke „Treffnah".

2. Grundsätze unserer Datenverarbeitung

Wir verarbeiten Daten nach den Grundsätzen von Art. 5 DSGVO — insbesondere Datenminimierung und Speicherbegrenzung. Unsere Architektur verfolgt dies durch:

• Standortdaten: Nur Geohash-3-Präzision (ca. 156 km × 156 km), nicht protokolliert
• Personenbezogene Daten: Auf unseren Servern keine — Identität via BIP39-Mnemonic auf Ihrem Gerät
• Geschäftsdaten: Aufträge, Nachrichten, Bewertungen nur lokal, Peer-to-Peer-verschlüsselt (WebRTC + XChaCha20-Poly1305) gemäß Art. 32 Abs. 1 lit. a DSGVO

3. Welche Daten verarbeitet unser Server?

3.1 Anonymer Suchindex

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Vermittlung von Handwerkerleistungen)

Gespeichert: pseudonymer ed25519-Schlüssel, Servicekategorien, Geohash-3, Tarif, Verfügbarkeit, Sprachen. Automatische Löschung nach 24 Stunden.

3.2 Signalisierungs-Relay (WebRTC)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO + Mere-Conduit-Privileg (Art. 4 DSA)

60-Sekunden-Räume für Verbindungsaufbau. Wir leiten nur verschlüsselte Daten weiter und können sie technisch nicht entschlüsseln.

3.3 Anonyme Telemetrie

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Produktverbesserung)

Aggregierte Ereignisse (Ereignistyp, optionaler Geohash-3, Minutenstempel). Keine Nutzer- oder Geräte-IDs. Aufbewahrung: 14 Tage.

3.4 Abostatus

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Über RevenueCat synchronisiert. Gespeichert ausschließlich als HMAC-SHA256-Hash Ihres pseudonymen Gerätetokens. Keine Rückführung auf Ihre Person möglich.

3.5 Absturzberichte

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Keine Absturzberichte ohne Ihre ausdrückliche Zustimmung.

1. Stack-Trace wird lokal auf Ihrem Gerät zwischengespeichert (bereinigt)
2. Beim nächsten Start fragt die App, ob Sie den Bericht senden möchten
3. Bei Ablehnung wird der Bericht sofort gelöscht
4. Bei Zustimmung an Server in Frankfurt — 14 Tage Aufbewahrung — dann automatisch gelöscht

4. Ende-zu-Ende-Verschlüsselung

Sämtliche Geschäftskommunikation zwischen Nutzer:innen (Aufträge, Nachrichten, Bewertungen) ist Ende-zu-Ende-verschlüsselt (X25519 ECDH + XChaCha20-Poly1305). Schlüssel verbleiben ausschließlich auf den Endgeräten.

Dies entspricht den Anforderungen von Art. 32 Abs. 1 lit. a DSGVO (Verschlüsselung als geeignete technische Maßnahme) und dem Geist des in Vorbereitung befindlichen deutschen TDDDG (Recht auf Verschlüsselung).

Wir verfügen über keine technische Möglichkeit, diese Kommunikation zu entschlüsseln — auch nicht auf Verlangen von Behörden.

5. Datenstandort

Unser Server steht in Frankfurt, Deutschland (Vultr Holdings Corporation). Es findet kein Datentransfer in Drittländer statt.

6. Ihre Rechte gemäß Art. 15–22 DSGVO

Sie haben das Recht auf:

• Auskunft (Art. 15)
• Berichtigung (Art. 16)
• Löschung (Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch (Art. 21)
• Beschwerde bei der Aufsichtsbehörde (Art. 77)

Architekturbedingte Besonderheit:

• Auskunft: In der App unter „Einstellungen → Daten exportieren"
• Löschung: Deinstallation löscht sofort alle lokalen Daten; anonymer Index läuft nach 24 h ab

7. Cookies / Tracking

Keine Cookies, keine Tracking-SDKs. Insbesondere kein Google Analytics, kein Facebook Pixel, kein Sentry.

Dies entspricht § 25 TDDDG — keine Einwilligungspflicht, da kein Zugriff auf das Endgerät über das technisch zwingend Erforderliche hinaus erfolgt.

8. Auftragsverarbeiter gemäß Art. 28 DSGVO

• Vultr Holdings Corporation — Server-Hosting in Frankfurt; Auftragsverarbeitungsvertrag vorhanden
• RevenueCat, Inc. — Abrechnungsereignisse; nur HMAC-gehashte pseudonymisierte Kennung
• Pinata Cloud, Inc. — optional (IPFS-Profilbilder, nur bei aktiver Nutzung durch Handwerker:innen)

9. Aufsichtsbehörde

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)
Kavalleriestraße 2-4, 40213 Düsseldorf
ldi.nrw.de

10. Kontakt

datenschutz@treffnah.de

11. Änderungen

Änderungen werden in der App und auf dieser Seite angezeigt.

Entwurfsfassung. Vor offizieller Veröffentlichung muss eine deutsche DSGVO-Anwältin oder ein Anwalt prüfen. Mehrsprachige Übersetzungen (DE/EN/ZH) im Backend.