1. Verantwortlicher und Kontakt
Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist:
Jonathan Wehner
Säbenerstraße 28
81547 München
Deutschland
E-Mail: support@getsponti.app
2. Kurzüberblick
Sponti ist offline-first. Profildaten, Quest-Verlauf, Reflexionen, Momente und ausgewählte Fotos oder Videos werden zunächst auf deinem Gerät gespeichert. Ohne dauerhaftes Konto bleibt ein Gastprofil lokal.
Mit einem dauerhaften Konto werden private App-Daten über das Sponti-Supabase-Projekt synchronisiert. Ein Konto ist außerdem Voraussetzung für private Freundschaften, gezielte Moment-Freigaben, gemeinsame Quests und freiwilliges Beta-Feedback.
3. Lokal verarbeitete Daten
Je nach Nutzung speichert die App insbesondere:
- Anzeigename und – nach Kontoerstellung – einen eindeutigen Benutzernamen;
- Quest-Auswahlparameter wie Situation, Gefühl, Zeit, Budget, Mobilität und Wetterpräferenz;
- angebotene, gemerkte, angenommene, übersprungene, abgebrochene und abgeschlossene Quests;
- freiwillige Reflexionen und private Momente mit Text, Foto oder Video;
- Synchronisationsstände, lokale Löschmarker und eine Warteschlange für noch nicht übertragene Änderungen;
- Auth-Sitzungstoken im sicheren Schlüsselspeicher des Betriebssystems.
Zweck ist die Bereitstellung und Personalisierung der App sowie ihre Offline-Nutzung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit personenbezogene Daten betroffen sind.
4. Konto, Anmeldung und Cloud-Synchronisation
E-Mail-Anmeldung
Bei der passwortlosen E-Mail-Anmeldung verarbeitet Supabase Auth unter anderem E-Mail-Adresse, interne Nutzer-ID, Authentifizierungs- und Sitzungsinformationen. Einmalcodes werden über Resend versendet.
Google- und Apple-Anmeldung
Wenn du Google oder Apple auswählst, werden Anbieter-Identifikator, Identitäts-Token und – abhängig von deiner Freigabe – E-Mail-Adresse und Name zwischen dem Anbieter, Supabase und Sponti ausgetauscht. Bei Apple kann eine Weiterleitungsadresse statt der tatsächlichen E-Mail-Adresse verwendet werden.
Cloud-Inhalte
Nach Anmeldung synchronisiert Sponti Profil, Quest-Historie, private Reflexionen, gemerkte Quests, Momente, ausgewählte Medien sowie Synchronisations- und Löschstände. Diese Daten werden durch kontobezogene Zugriffsregeln geschützt.
5. Private Freundesfunktionen
Freundschaftsanfragen sind nur über den exakten Benutzernamen möglich. Es gibt kein öffentliches Profilverzeichnis. Verbundene Nutzer sehen gegenseitig Anzeigename, Benutzername und Verbindungsstatus.
Ein privater Moment kann gezielt mit genau einem angenommenen Freund geteilt werden. Der Zugriff wird bei jedem Abruf erneut geprüft und kann widerrufen werden. Bereits angefertigte Screenshots oder Kopien auf dem Gerät des Empfängers können technisch nicht zurückgerufen werden.
Bei gemeinsamen Quests werden Quest, Einladungsstatus und jeweilige Abschlusszeitpunkte geteilt. Persönliche Reflexionen bleiben privat.
6. Optionale Produktanalyse
Die Produktanalyse ist standardmäßig ausgeschaltet und beginnt nur nach aktiver Zustimmung. Erfasst werden ausschließlich vorgegebene Produkt-Ereignisse wie Quest angeboten, angenommen oder abgeschlossen, Moment erstellt und Story exportiert. Freitexte, Medien, E-Mail-Adresse, Benutzername und Auth-Nutzer-ID werden nicht in Produkt-Events gespeichert.
Eine zufällige Installationskennung macht die Daten pseudonym, nicht anonym. Server-Ereignisse werden nach 90 Tagen zur Löschung ausgewählt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung kann in den Einstellungen mit Wirkung für die Zukunft widerrufen werden.
7. Freiwilliges Beta-Feedback
Beim bewussten Absenden werden Kategorie, Bewertung, Nachricht, optionaler App-Bereich, eine getrennte zufällige Feedback-Kennung und Absendezeitpunkt gespeichert. Feedbackzeilen enthalten keine Auth-Nutzer-ID oder E-Mail-Adresse und werden nach 180 Tagen zur Löschung ausgewählt. Bitte sende keine sensiblen Daten oder Daten anderer Personen.
8. Berechtigungen auf dem Gerät
- Mediathek: Auswahl eines Fotos oder Videos für einen Moment;
- Kamera: Aufnahme eines Fotos oder Videos;
- Mikrofon: Tonaufnahme bei Videoaufnahmen.
Sponti fordert derzeit weder Kontakte noch den Gerätestandort an.
9. Empfänger und Dienstleister
Supabase
Supabase, Inc. stellt Authentifizierung, PostgreSQL-Datenbank, privaten Medienspeicher und Edge Functions bereit. Das Production-Projekt ist in Frankfurt am Main (EU) konfiguriert. Weitere Informationen: Supabase Privacy Policy.
Resend
Resend versendet die angeforderten E-Mail-Einmalcodes. Dabei werden E-Mail-Adresse, Nachrichteninhalt und technische Versanddaten verarbeitet. Weitere Informationen: Resend Privacy Policy.
Apple und Google
Apple beziehungsweise Google verarbeiten Daten, wenn du den jeweiligen Login auswählst. Apple verarbeitet außerdem TestFlight-Installations-, Diagnose- und Feedbackdaten entsprechend deiner Einstellungen.
Expo / EAS
Expo Application Services erstellt und übermittelt signierte App-Builds. Beim Aufruf von EAS-Links können technische Zugriffs- und Download-Daten verarbeitet werden. Sponti nutzt derzeit keine Expo Push Notifications.
Website-Hosting
Diese statische Website wird ohne Analyse-Cookies oder Tracking betrieben bei HOSTINGER INTERNATIONAL LIMITED, 61 Lordou Vironos str., 6023 Larnaca, Zypern (VPS-Rechenzentrum Frankfurt am Main). Der Webserver kann technisch notwendige Zugriffsdaten wie IP-Adresse, Zeitpunkt, angeforderte URL, User-Agent und Antwortstatus verarbeiten. Weitere Informationen enthält die Datenschutzerklärung von Hostinger.
10. Verarbeitung außerhalb des EWR
Supabase, Resend, Apple, Google und Expo beziehungsweise deren Unterauftragnehmer können Daten auch außerhalb des Europäischen Wirtschaftsraums verarbeiten. Dabei werden je nach Anbieter insbesondere Angemessenheitsbeschlüsse und Standardvertragsklauseln als Transferinstrumente eingesetzt. Einzelheiten enthalten die oben verlinkten Datenschutzhinweise der Anbieter.
11. Speicherdauer und Löschung
- Lokale App-Daten bleiben bis zur lokalen Löschung oder Entfernung der App auf dem Gerät.
- Cloud-Konto und private Cloud-Daten bleiben grundsätzlich bis zur Löschung durch den Nutzer gespeichert.
- Produktevents werden nach 90 Tagen, Beta-Feedback nach 180 Tagen zur Löschung ausgewählt.
- Provider-Logs, Backups, EAS-Artefakte und TestFlight-Daten folgen den Fristen der jeweils konfigurierten Dienste.
12. Kontolöschung
„Cloud-Konto löschen“ entfernt zuerst private Dateien aus dem Supabase-Medienspeicher und anschließend das Auth-Konto samt zugeordneten privaten Datenbankzeilen. „Alle lokalen Daten löschen“ leert zusätzlich die lokale Datenbank und den lokalen Medienordner. Wer beides vollständig entfernen möchte, nutzt zuerst die Cloud- und danach die lokale Löschung.
13. Deine Rechte
Unter den gesetzlichen Voraussetzungen hast du insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Widerruf erteilter Einwilligungen. Wende dich dafür an support@getsponti.app.
Du kannst dich außerdem bei einer Datenschutzaufsichtsbehörde beschweren, insbesondere an deinem gewöhnlichen Aufenthaltsort, Arbeitsplatz oder am Ort des vermuteten Verstoßes. Zuständige Behörde des Betreibers: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach
14. Kinder und Jugendliche
Das verbindliche Mindestalter für die Nutzung lautet 16 Jahre. Sponti bietet derzeit keinen Prozess zur Zustimmung durch Erziehungsberechtigte für jüngere Personen an.
15. Sicherheit und Änderungen
Private Cloud-Daten und Medien sind kontobezogen geschützt. Medien werden nicht über dauerhafte öffentliche URLs bereitgestellt; Sitzungen werden im sicheren Speicher des Betriebssystems abgelegt und Übertragungen erfolgen über HTTPS. Kein technisches System bietet absolute Sicherheit.
Diese Hinweise werden aktualisiert, wenn sich Funktionen, Anbieter oder Verarbeitungszwecke ändern. Die jeweils aktuelle Fassung bleibt unter dieser URL abrufbar.