OURS
ende

Datenschutzerklärung

Diese Erklärung beschreibt, welche Daten OURS erhebt, wozu, und wie wir sie schützen. Wir folgen den DSGVO-Grundsätzen und speichern so wenige personenbezogene Daten wie möglich.

Geltungsbereich

Diese Datenschutzerklärung gilt für die OURS-Marketingwebsite und die OURS-Mobile-App. Sie erklärt, welche personenbezogenen Daten wir verarbeiten, auf welcher Rechtsgrundlage (Art. 6 DSGVO), und welche Rechte du hast. Verantwortlicher im Sinne der DSGVO ist im Impressum genannt.

Daten, die wir auf dieser Website verarbeiten

  • Newsletter-Anmeldung: wenn du deine E-Mail-Adresse angibst, speichern wir sie in unserer Resend-Audience, um dir Launch-Updates zuzusenden. Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Du kannst dich jederzeit über den Link in jeder unserer Mails abmelden.
  • Server-Logs: unser Hoster (Vercel) speichert Standard-Anfrage- Metadaten (IP, User-Agent, Zeitstempel) für bis zu 30 Tage zur Sicherheits- und Missbrauchsabwehr. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f).
  • Seitenaufruf-Log („site_visits"): wir speichern pro Aufruf den Pfad, die Sprache, das aus der IP zum Anfragezeitpunkt abgeleitete Land (die IP selbst wird nicht gespeichert) und einen gehashten User-Agent, um zu verstehen, welche Seiten gelesen werden. Keine Drittanbieter-Analyse, keine Werbe-Cookies, kein seitenübergreifendes Tracking. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f).
  • Sprach-Cookie („NEXT_LOCALE"): ein einziger First-Party-Cookie, der sich deine Sprachwahl merkt. Unbedingt erforderlich, keine Einwilligung nötig nach § 25 Abs. 2 Nr. 2 TDDDG.

Daten, die wir in der OURS-App verarbeiten

  • Account-Daten: E-Mail-Adresse (für die Authentifizierung erforderlich), Benutzername, Anzeigename, optional Avatar und Bio. Sign in with Apple und Sign in with Google werden ebenfalls unterstützt — diese Anbieter teilen uns eine opake Nutzer-ID und deine bestätigte E-Mail-Adresse mit.
  • Inhalte, die du erstellst: deine eingestellten Sachen (Titel, Kategorie, Fotos, Zustand, Metadaten), deine Kontaktbeziehungen zu anderen Nutzer:innen, Leihvorgänge und die in Leih-Threads ausgetauschten Nachrichten.
  • Push-Token: wird nur gespeichert, wenn du Push-Benachrichtigungen aktivierst. Wir leiten den Token via Expo Push an Apple Push Notification service (APNs) bzw. Firebase Cloud Messaging (FCM) weiter, um dir Benachrichtigungen zuzustellen. Tokens, die seit 180 Tagen nicht erneuert wurden, werden automatisch entfernt.
  • Crash-Diagnose-Daten: nicht abgefangene Fehler werden zur Fehlerbehebung an Sentry gesendet. Vor dem Upload werden personenbezogene Daten entfernt: Auth-Header und Cookies werden redigiert, E-Mail-Adressen in Meldungen und Breadcrumbs ersetzt und die automatische Identitätszuordnung deaktiviert („sendDefaultPii: false"). Zur Gruppierung von Abstürzen verwenden wir lediglich eine zufällige, pro App-Installation erzeugte Kennung (Install-ID), die nicht mit deinem Konto, deiner E-Mail-Adresse oder deinem Namen verknüpft ist.
  • Produkt-Analyse: Wir verwenden PostHog (EU-Hosting), um zu verstehen, welche Funktionen genutzt werden und an welcher Stelle Abläufe abgebrochen werden. Dafür wird dieselbe zufällige Install-ID verwendet — sie ist nicht mit deinem Konto, deiner E-Mail-Adresse oder deinem Namen verknüpft; vor dem Senden werden E-Mail-Adressen und Zugangs-Token entfernt. Zusätzlich führen wir die produktinterne Tabelle „events", in der deine Aktionen festgehalten werden (z. B. du hast eine Sache verliehen), damit wir Badges und Level vergeben können.

Auftragsverarbeiter

Die folgenden Auftragsverarbeiter verarbeiten Daten in unserem Auftrag auf Grundlage eines Vertrags nach Art. 28 DSGVO:

  • Supabase (Supabase Inc.) — Datenbank, Authentifizierung und Dateispeicher. Region: EU (Frankfurt).
  • Vercel (Vercel Inc.) — Hosting der Website und des Admin-Dashboards. Region: Frankfurt („fra1").
  • Sentry (Functional Software, Inc.) — Crash-Reporting der Mobile-App.
  • PostHog (PostHog, Inc.) — Produkt-Analyse der Mobile-App. Region: EU.
  • Resend (Resend, Inc.) — Versand von Transaktions- und Newsletter- E-Mails.
  • Apple (APNs) und Google (FCM) via Expo — Zustellung von Push-Benachrichtigungen.

Speicherdauer

  • Account-Daten: solange dein Account besteht. Wenn du deinen Account löschst, werden Name, Avatar und Bio sofort redigiert; der Account-Datensatz selbst wird nach einer 30-tägigen Karenzzeit endgültig gelöscht (ein nächtlicher Cron-Job entfernt soft-gelöschte Profile). Frühere Leih-Threads bleiben erhalten, dein Name erscheint dort als „Gelöschte:r Nutzer:in", damit die Leihhistorie der Gegenseite konsistent bleibt.
  • Foto- und Avatar-Speicher: private Buckets (5 MB Limit, ausschließlich Bild-MIME-Types), nur über kurzlebige signierte URLs erreichbar, durch Row-Level- Security so abgesichert, dass nur du und deine akzeptierten Kontakte deine Item-Fotos sehen können.
  • Push-Token: 180 Tage ab letzter Aktualisierung, danach automatisch entfernt.
  • Crash-Diagnose-Daten: Standard-Aufbewahrung von Sentry (90 Tage).

Deine Rechte nach der DSGVO

Du hast das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77). Um diese Rechte auszuüben, schreib uns an privacy@ours-app.net. Die meisten Rechte kannst du auch direkt in der App unter Einstellungen → Datenschutz wahrnehmen — z. B. „Meine Daten herunterladen" (Art. 15 / 20) und „Konto löschen" (Art. 17).

Kontakt

Verantwortlicher und vollständige Anschrift: siehe Impressum.