Datenschutzerklärung
Wie wir mit deinen Daten umgehen.
Zuletzt aktualisiert am 25. Mai 2026
1. Wer wir sind
PickASunnyDay (die "App", "wir") ist eine Wetter-Planungs-App und diese Website. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO ist:
Nils Schiwora, handelnd unter Nils Schiwora Trading Services Ahornstr. 37 14547 Beelitz Deutschland
Bei Fragen zu dieser Erklärung oder zur Ausübung deiner Rechte schreib an privacy@pickasunnyday.app.
Für unsere Geschäftsanschrift in Brandenburg ist Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg) zuständige Aufsichtsbehörde. Du kannst dich jederzeit auch an die Behörde deines gewöhnlichen Aufenthalts wenden (Art. 77 DSGVO).
2. Welche Daten wir verarbeiten
Wir trennen drei Datenflüsse: die Website (diese Domain), die iOS-App und die rein lokale Verarbeitung auf deinem Gerät.
2.1 Website
| Daten | Wann | Quelle |
|---|---|---|
| Übliche Anfragedaten (IP-Adresse, User-Agent, Referrer) | Bei jedem Seitenaufruf | Sendet dein Browser an unseren Hosting-Anbieter |
| Einwilligungsstatus ("accepted" / "declined") | Nach Klick auf den Cookie-Banner | Lokal in deinem Browser unter psd:cookie-consent |
| UTM-Parameter | Wenn du mit utm_* in der URL kommst |
Lokal in deinem Browser unter psd:utm (Session-Storage) |
Diese Website lädt PostHog Produkt-Analyse, gehostet unter eu.i.posthog.com (EU-Region), erst nach deiner Cookie-Einwilligung. Solange du den Cookie-Banner nicht akzeptierst, wird nichts geladen und nichts gesendet. Lehnst du ab, wird kein PostHog-Cookie gesetzt und es werden keine Ereignisse übermittelt. Session-Aufzeichnung, Autocapture, Werbung und sonstige Drittanbieter-Tracker laden wir nicht; außerdem ist das PostHog-Projekt so konfiguriert, dass Client-IP-Adressen verworfen werden. Dasselbe PostHog-Projekt nutzt auch die iOS-App (siehe Abschnitt 2.2), damit wir den Funnel von dieser Seite in die App verstehen, ohne Daten an einen zweiten Analyse-Anbieter zu geben. Erfasste Ereignisse beschränken sich auf: Seitenaufrufe, App-Store-CTA-Klicks, Sprachwechsel und FAQ-Aufklapp-Ereignisse.
2.2 iOS-App
| Daten | Zweck |
|---|---|
| Konto-Kennung (über Supabase Auth — standardmäßig anonym, optional an eine E-Mail gebunden) | Damit deine Orte, Pläne und Berechtigungen über Neuinstallationen hinweg verbunden bleiben |
| Ungefähre Position (nur im Vordergrund, nach Apple-Berechtigung) | Berechnung der Sonnen-Prognose für den ausgewählten Ort |
| Gespeicherte und gesuchte Orte | Anzeige von Prognosen für deine Orte |
| Deine Planungs-Einstellungen (Tageszeit, benötigte Sonnenstunden, Regen-Toleranz) | Bewertung der Tage nach deinen Bedürfnissen |
Abo-Berechtigungsstatus (plus), gespiegelt von RevenueCat |
Freischaltung kostenpflichtiger Funktionen nach erfolgreichem Kauf im App Store |
| Expo-Push-Token | Nur wenn du Benachrichtigungen erlaubst, damit wir dich an beobachtete sonnige Tage erinnern können |
Produkt-Analyse-Ereignisse (z.B. paywall_viewed, day_detail_viewed) und Absturz-Berichte |
Gehen an PostHog bzw. Sentry — siehe Abschnitt 4 |
Position, gespeicherte Orte und Planungs-Einstellungen werden an unser Backend übertragen, damit es eine Prognose zurückgeben kann — sie werden nicht ausschließlich auf deinem Gerät verarbeitet.
2.3 Was auf deinem Gerät bleibt
Gerätekennung, In-App-Aktivität, die wir nicht als Analyse-Ereignis erfassen, und Eingaben vor dem Absenden bleiben auf deinem Gerät.
3. Zweck und Rechtsgrundlagen
| Zweck | Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) |
|---|---|
| Bereitstellung der Prognose-Dienste in der App | Vertragserfüllung — lit. b |
| Abwicklung deines App-Store-Abos | Vertragserfüllung — lit. b |
| Versand von Push-Benachrichtigungen, die du aktiviert hast | Einwilligung — lit. a |
| Produkt-Analyse (sofern aktiv), um Funktionen zu verbessern | Berechtigtes Interesse — lit. f. Widerspruchsrecht: siehe Abschnitt 7. |
| Missbrauchserkennung und Sicherheit | Berechtigtes Interesse — lit. f |
| Erfüllung gesetzlicher Aufbewahrungspflichten (Steuer, Buchhaltung) | Rechtliche Verpflichtung — lit. c |
4. Dienstleister und Empfänger
Wir setzen wenige Auftragsverarbeiter ein.
| Anbieter | Rolle | Region | Hinweis |
|---|---|---|---|
| Vercel Inc. | Hosting dieser Website und der Mobile-API | Vercel Edge Network weltweit; Functions in den USA (iad1) und API zusätzlich EU (fra1) |
Übliche Anfragedaten (IP-Adresse, User-Agent) erscheinen in Vercel-Logs zur Missbrauchs-Abwehr. |
| Supabase | Datenbank, Authentifizierung und serverseitige Speicherung deines Kontos, deiner Orte, Planungs-Einstellungen, Push-Token und gespiegelten Berechtigungen | EU — Central (Frankfurt, eu-central-1) |
Tätig als Auftragsverarbeiter unter einer Vereinbarung zur Auftragsverarbeitung. |
| Trigger.dev | Geplante Hintergrund-Jobs (Alerts, Watch-Neuberechnung) | EU — Central (Frankfurt, eu-central-1) |
Läuft serverseitig; ohne direkten Zugriff auf dein Gerät. |
| Open-Meteo | Wetter-Prognosedaten, die die App auswertet | EU (Open-Meteo wird aus Deutschland betrieben) | Unser Backend fragt Open-Meteo serverseitig an, nie dein Gerät — Open-Meteo erhält von uns also weder deine IP-Adresse noch eine Gerätekennung. Open-Meteo verlangt eine Quellenangabe nach CC BY 4.0; die iOS-App zeigt sie unter Einstellungen → Hilfe & Info → Über & Rechtliches sowie in den Danksagungen. |
| Apple Inc. | App-Vertrieb, Abo-Abwicklung über den App Store, Push-Zustellung via APNs | USA (mit EU-Unterauftragsverarbeitern) | Apple erhält Kauf- und Rückerstattungs-Metadaten direkt von dir nach der Datenschutz-Erklärung von Apple. |
| Expo (Expo Application Services) | Build der Mobile-App, Vermittlung von Push-Benachrichtigungen über APNs | USA | Der Expo-Push-Token identifiziert deine Installation, nicht dich persönlich. |
| RevenueCat | Verwaltung der Abo-Berechtigung (plus) und Bereitstellung an App und Backend |
USA | Wir nutzen RevenueCat als verbindliche Abo-Quelle. RevenueCat verarbeitet App-Store-Transaktions-Metadaten und eine RevenueCat-eigene Nutzer-Kennung. |
| PostHog | Produkt-Analyse für Landing-Seite und iOS-App | EU — eu.i.posthog.com |
Ein gemeinsames Projekt für beide Oberflächen, damit der Funnel von der Website in die App lesbar bleibt. Ereignisse beschränken sich auf Produkt- und Conversion-Nutzung (z.B. $pageview, cta_click, language_switch, faq_expand auf der Website; paywall_viewed, day_detail_viewed in der App). Session-Aufzeichnung und Autocapture sind deaktiviert, Client-IP-Adressen werden in PostHog verworfen, und Landing-Analyse läuft erst nach Annahme des Cookie-Banners. |
| Sentry | Absturz- und Fehler-Berichte für die iOS-App | EU | Erhält Stack-Traces und begrenzte Geräte-Metadaten. |
Wir verkaufen deine Daten nicht und nutzen sie nicht für personalisierte Werbung.
5. Übermittlung in Drittländer
Folgende Anbieter sitzen in den USA bzw. werden von dort aus betrieben: Vercel (soweit zutreffend), Apple, Expo und RevenueCat. PostHog läuft sowohl für die Landing-Seite als auch für die iOS-App auf der EU-Region (eu.i.posthog.com), sodass PostHog-Ereignisdaten die EU nicht verlassen. Trigger.dev läuft für dieses Projekt in Frankfurt (eu-central-1). Sentry speichert die Absturz-Berichte dieses Projekts in der EU-Region. Die Auftragsverarbeiter-Bedingungen für die Nicht-EU-Anbieter sind für den Launch bestätigt. Übermittlungen an Nicht-EU-Empfänger stützen wir auf die von der Europäischen Kommission erlassenen Standardvertragsklauseln, ggf. mit ergänzenden Maßnahmen nach Schrems II. Soweit ein Anbieter am EU-US Data Privacy Framework teilnimmt, stützen wir uns zusätzlich auf dessen aktuelle Zertifizierung.
6. Speicherdauer
| Kategorie | Dauer |
|---|---|
| Gespeicherte Orte und Planungs-Einstellungen | Bis du sie in der App löschst oder dein Konto entfernst |
| Push-Token | Bis du die Benachrichtigungs-Berechtigung widerrufst oder die App löschst |
| Produkt-Analyse-Ereignisse | Bis zu 12 Monate im aktuellen PostHog-Cloud-Free-Plan |
| Absturz-Berichte | Bis zu 90 Tage in Sentry im aktuellen Self-Serve-Plan bzw. Trial |
| Abo- und Abrechnungs-Daten | Bis zu 10 Jahre, soweit nach Steuer- und Handelsrecht erforderlich (§ 147 AO, § 257 HGB) |
| Server-Zugriffslogs | Vercel-Runtime-Logs: 1 Tag im aktuellen Pro-Plan; Supabase-API-/Datenbank-Logs: 1 Tag im aktuellen Free-Projekt, 7 Tage nach dem geplanten Pro-Upgrade |
7. Deine Rechte
Nach der DSGVO kannst du:
- Auskunft über die Verarbeitung verlangen und eine Kopie erhalten (Art. 15)
- Berichtigung unrichtiger Daten verlangen (Art. 16)
- Löschung verlangen (Art. 17), vorbehaltlich gesetzlicher Aufbewahrungspflichten
- Einschränkung verlangen, solange eine Streitigkeit anhängig ist (Art. 18)
- Deine Daten in maschinenlesbarer Form portieren (Art. 20)
- Der Verarbeitung auf Grundlage berechtigter Interessen widersprechen, auch der Analyse (Art. 21)
- Eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3)
- Beschwerde bei einer Aufsichtsbehörde einlegen (Art. 77)
Zur Ausübung dieser Rechte: privacy@pickasunnyday.app. Wir antworten in der Regel binnen 30 Tagen (Art. 12 Abs. 3).
Konto und zugehörige Daten löschen: siehe Hilfe & Kontakt.
8. Kinder
Die App richtet sich nicht an Kinder unter 16. Ohne nachweisbare elterliche Einwilligung verarbeiten wir wissentlich keine Daten von Personen unter 16 Jahren (Art. 8 DSGVO). Wenn du einen Verdacht hast, schreib an privacy@pickasunnyday.app — wir löschen das Konto.
9. Sicherheit
Wir nutzen HTTPS für allen Datenverkehr, speichern Zugangsdaten und Token verschlüsselt und beschränken interne Zugriffe auf das Notwendige. Kein System ist absolut sicher. Schwachstellen-Meldungen bitte an security@pickasunnyday.app.
10. Änderungen dieser Erklärung
Wesentliche Änderungen veröffentlichen wir hier und kündigen sie — falls sie dich betreffen, etwa durch einen neuen Empfänger deiner Daten — mindestens 14 Tage vorher per E-Mail oder in der App an. Das Datum oben zeigt die letzte Überarbeitung.
11. Kontakt
Für alle Datenschutz-Fragen und Anträge:
Nils Schiwora handelnd unter Nils Schiwora Trading Services Ahornstr. 37 14547 Beelitz Deutschland E-Mail: privacy@pickasunnyday.app