evvn

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Fabian Schneider
Weizäcker 3
97705 Burkardroth
E-Mail: info@flowcenters.de

2. Welche Daten verarbeiten wir?

Beim Account erstellen

  • E-Mail-Adresse (für Login via Magic Link oder Google OAuth)
  • Name (bei Google-Login aus dem Google-Profil übernommen, optional)

In Trips

  • Namen der Reiseteilnehmer (vom Organizer eingetragen)
  • Zahlungsbeträge pro Person
  • Reisedaten (Zielort, Datum)
  • Kostenposten (Name, Betrag, Kategorie, Aufteilung)
  • IBAN/PayPal des Organizers (optional, für Zahlungsabwicklung)
  • Hochgeladene Dokumente (Belege, Fotos)
  • Gespeicherte Orte (Name, Adresse, Koordinaten via OpenStreetMap/Nominatim)
  • Verknüpfungsstatus: Ob ein Teilnehmer sein Evvn-Konto mit dem Trip verknüpft hat (für den Organizer sichtbar)
  • Kaufdaten (Premium-Status, Kaufzeitpunkt, Abo-Typ)

Ortssuche (Nominatim/OpenStreetMap)

Bei der Ortssuche werden Suchanfragen an den Dienst Nominatim (OpenStreetMap Foundation, UK) übermittelt. Dabei wird Ihre IP-Adresse und der Suchbegriff an die Server von OpenStreetMap übertragen. Es gelten die Datenschutzrichtlinien der OpenStreetMap Foundation. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Im Sharing-Link (/t/[token])

  • Trip-Name, Datum, Zielort
  • Kostenposten mit Beträgen
  • Eigener Zahlungsstatus (nur nach Namenseingabe)
  • Maskierte IBAN des Organizers (nur letzte 4 Ziffern)

Nicht im Sharing-Link: Zahlungsstatus anderer Teilnehmer, E-Mail-Adressen, volle IBAN, hochgeladene Dokumente.

Gruppenchat

  • Nachrichtentext (Freitext), Absender-Name, Zeitstempel
  • Gespeichert in Supabase-Datenbank (Frankfurt, EU)
  • Automatische Löschung 90 Tage nach Trip-Ende
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Nur Trip-Teilnehmer können Nachrichten lesen

Online-Status (Chat-Presence)

  • Wenn aktiviert: Andere Trip-Teilnehmer sehen, dass du den Chat geöffnet hast
  • Nur innerhalb des jeweiligen Trips sichtbar, nicht global
  • Ephemere Daten (nur im Arbeitsspeicher, keine dauerhafte Speicherung)
  • Opt-in: Standardmäßig deaktiviert, jederzeit in den Einstellungen abschaltbar
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Newsletter / Warteliste

  • E-Mail-Adresse (für Benachrichtigung über App-Launch)
  • Double Opt-In: Deine Anmeldung wird erst nach Klick auf den Bestätigungslink wirksam
  • Abmeldung jederzeit über den Unsubscribe-Link in jeder E-Mail möglich
  • Versand über Resend Inc. (USA, Data Privacy Framework)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

3. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag): Account, Trip-Daten, Teilnehmer, Kostenposten, Zahlungen — erforderlich zur Kostenaufteilung.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Newsletter/Warteliste, Online-Status im Chat, IBAN-Anzeige im Sharing-Link, Google Places Suche (falls aktiviert), Werbung (AdMob). Einwilligungen können jederzeit widerrufen werden (Art. 7 Abs. 3 DSGVO) — über die App-Einstellungen oder den Unsubscribe-Link.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Server-Logs, Fehleranalyse, Missbrauchsschutz.

4. Empfänger und Drittanbieter

  • Supabase Inc. (Datenbank, Auth) — Rechenzentrum Frankfurt, EU. Standardvertragsklauseln (SCCs).
  • Vercel Inc. (Webhosting) — USA. Data Processing Agreement vorhanden.
  • Google LLC (OAuth-Login) — USA. Nur bei Google-Anmeldung. Privacy Shield / DPF.
  • Google Play Billing (Zahlungsabwicklung) — USA. Nur bei Premium-Käufen. Verarbeitung durch Google gemäß deren Datenschutzrichtlinie.
  • Resend Inc. (E-Mail-Versand) — USA. Data Privacy Framework. Verarbeitet E-Mail-Adressen für Transaktions- und Newsletter-Mails.

5. Speicherdauer

  • Trip-Daten: Bis der Trip oder Account gelöscht wird.
  • Account-Daten: Bis zur Konto-Löschung.
  • Server-Logs: Max. 30 Tage (automatisch).
  • Chat-Nachrichten: Bis der Trip gelöscht wird, maximal 90 Tage nach Trip-Ende.
  • Newsletter: Bis zur Abmeldung. Unbestätigte Anmeldungen werden nach 48 Stunden gelöscht.
  • Online-Status: Nur während aktiver Nutzung, keine dauerhafte Speicherung.

Bei Löschung eines Trips werden alle zugehörigen Daten (Teilnehmer, Kosten, Dokumente, Orte) sofort und unwiderruflich entfernt (CASCADE DELETE).

6. Deine Rechte

  • Auskunft (Art. 15 DSGVO): Welche Daten wir über dich speichern.
  • Berichtigung (Art. 16 DSGVO): Falsche Daten korrigieren.
  • Löschung (Art. 17 DSGVO): Konto und alle Daten löschen (Einstellungen → Konto löschen).
  • Einschränkung (Art. 18 DSGVO): Verarbeitung einschränken.
  • Datenportabilität (Art. 20 DSGVO): Daten in maschinenlesbarem Format erhalten.
  • Widerspruch (Art. 21 DSGVO): Verarbeitung widersprechen.

Kontakt: info@flowcenters.de

7. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Behörde deines Bundeslandes.

8. Cookies und Tracking

Evvn verwendet keine Tracking-Cookies. Es werden ausschließlich technisch notwendige Session-Cookies für die Authentifizierung genutzt (Supabase Auth Token).

9. Verschlüsselung

Alle Verbindungen nutzen HTTPS/TLS. Daten werden verschlüsselt übertragen und in der Datenbank verschlüsselt gespeichert (Encryption at Rest).