Datenschutzerklärung

Stand: [DATUM EINSETZEN] · Version 1.0

⚠️ Platzhalter – rechtliche Prüfung ausstehend Dieser Abschnitt ist noch nicht rechtsverbindlich und muss vor dem öffentlichen Launch von einem Datenschutzanwalt geprüft und finalisiert werden. Die Struktur entspricht den Anforderungen der DSGVO Art. 13/14.

1. Verantwortliche Stelle

TODO: Vollständige Angaben einfügen CLAVY UG (haftungsbeschränkt) i.Gr.
[Straße, Hausnummer]
[PLZ Ort]
Deutschland
E-Mail: datenschutz@clavy.eu
[Handelsregisternummer nach Eintragung]

2. Welche Daten wir verarbeiten

Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb der App und der Website erforderlich ist:

Registrierungsdaten (Elternteil): E-Mail-Adresse, Passwort (verschlüsselt)
Kindprofil: Vorname, Geburtsdatum (für Altersgruppen-Zuordnung), Lernfortschritt
Nutzungsdaten: Abgeschlossene Missionen, XP-Punkte, Streak (lokal auf Gerät und in Supabase)
Technische Daten: Expo Push Token (für Benachrichtigungen, optional)
Waitlist (Website): E-Mail-Adresse, optionale Angaben (Vorname, Alter des Kindes)

Wir verarbeiten keine Zahlungsdaten, Fotos oder biometrischen Daten.

3. Rechtsgrundlagen (DSGVO Art. 6)

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Bereitstellung der App-Funktionen
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Waitlist, optionale Benachrichtigungen
Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen: Sicherheit, Missbrauchsprävention
Art. 8 DSGVO – Verarbeitung von Kindern-Daten nur mit nachweislicher Eltern-Einwilligung

4. Kinderdaten (Art. 8 DSGVO)

CLAVY richtet sich an Kinder unter 16 Jahren. Die Verarbeitung von Kinderdaten erfolgt ausschließlich:

Auf Basis der ausdrücklichen Einwilligung des erziehungsberechtigten Elternteils
Der Elternteil-Account "besitzt" alle Kindprofile — Kinder haben keinen eigenen Login
Kinderdaten werden nicht für Werbezwecke oder Profiling genutzt

5. Speicherung und Aufbewahrungsfristen

Daten werden gelöscht, sobald sie für den ursprünglichen Zweck nicht mehr benötigt werden:

Kindprofil: Bis zur Löschung durch den Elternteil oder Konto-Löschung
Lernfortschritt: Bis zur Konto-Löschung
Waitlist-E-Mail: Bis zum Start der Beta oder bis zum Widerruf
Lokale Gerätedaten: Werden bei App-Deinstallation oder Abmeldung gelöscht

6. Drittanbieter und Datenübertragung

Wir nutzen folgende Drittanbieter:

Supabase (Datenbank, Authentifizierung) – Server in der EU (Frankfurt). Datenschutzkonform nach DSGVO. Datenschutzerklärung Supabase
Expo / Expo Push Notifications – Push-Token-Übertragung für Benachrichtigungen. Nur wenn explizit zugestimmt.
Vercel (Website-Hosting) – EU-konforme Infrastruktur.

Eine Weitergabe an Dritte zu Werbezwecken findet nicht statt.

7. Cookies und Tracking

Die CLAVY-Website verwendet keine Tracking-Cookies, keine Analytics-Dienste und kein Cross-Site-Tracking. Es werden technisch notwendige Browser-Funktionen genutzt (localStorage für Formular-Zustand).

8. Deine Rechte (Art. 15–22 DSGVO)

Auskunftsrecht (Art. 15): Welche Daten wir über dich gespeichert haben
Berichtigungsrecht (Art. 16): Unrichtige Daten korrigieren
Löschungsrecht (Art. 17): Löschung aller Daten ("Recht auf Vergessenwerden")
Einschränkung (Art. 18): Verarbeitung einschränken
Datenübertragbarkeit (Art. 20): Daten in maschinenlesbarem Format erhalten
Widerspruchsrecht (Art. 21): Verarbeitung auf Basis berechtigter Interessen widersprechen
Widerruf (Art. 7 Abs. 3): Einwilligung jederzeit widerrufen

Anfragen an: datenschutz@clavy.eu

Du hast außerdem das Recht, Beschwerde bei der zuständigen Datenschutzbehörde einzulegen.

9. Datensicherheit

Alle Datenübertragungen erfolgen verschlüsselt (TLS/HTTPS). Auth-Tokens werden im Secure Store des Geräts gespeichert. Datenbank-Zugriffe sind durch Row Level Security (RLS) geschützt — jeder Nutzer sieht nur seine eigenen Daten.

10. Kontakt Datenschutz

TODO: Datenschutzbeauftragter oder Verantwortliche Person eintragen E-Mail: datenschutz@clavy.eu
[Evtl. externer Datenschutzbeauftragter nach §38 BDSG prüfen — bei <20 Mitarbeitern nicht zwingend]