Datenschutzerklärung
1. Wer wir sind
Verantwortlicher: Jan Lunge, Einzelunternehmer (Heaper), Schloßstrasse 8a, 9273 Düssin.
Kontakt: support@heaper.de
Rechtliche/DSGVO-Anfragen: legal@heaper.de
2. Was diese Richtlinie abdeckt
Diese Erklärung erklärt, wie wir personenbezogene Daten sammeln, verwenden, teilen und schützen, wenn Sie folgende Dienste nutzen: • Heaper-Apps für iOS, iPadOS, Android, macOS, Windows & Linux (die "Apps"); • heaper.app und zugehörige Subdomains (die "Website"); und • unsere optionale Cloud-Sync-Plattform (der "Server"). • das selbst gehostete Sync-Backend (der "selbst gehostete Server"). • Support-Interaktionen (E-Mail, Chat).
3. Welche Daten wir sammeln
| Kategorie (Apple-Label / Google-Datentyp) | Beispiele | Zweck | Mit Ihnen verknüpft? |
|---|---|---|---|
| Kontodaten | E-Mail, Anzeigename, Authentifizierungstoken, Abonnement-Status | Konto erstellen und sichern, Abrechnung | ✔ |
| Dateien & Notizen-Inhalte | Die Dokumente, Bilder, Audio, Tags und Metadaten, die Sie speichern | Kernfunktionalität (Speicherung, Sync, Suche, Thumbnails) | ✔ |
| Geräte- & Verbindungsdaten | Gerätemodell, OS-Version, Sprache, Zeitzone, IP | Diagnose, Betrugsprävention | ✖ (aggregiert) |
| Nutzungsdaten | Feature-Interaktionen, Zeitstempel, Änderungshistorie | Sync, Konfliktlösung, Produktanalyse | ✔ (pseudonyme UID) |
| Crash- & Fehlerprotokolle | Stack-Traces, Fehlermeldungen, App-Build-ID | Stabilität verbessern | ✔ (kann Geräte-ID enthalten) |
| Zahlungsdaten | Verarbeitet von Apple, Google oder Stripe; wir erhalten nur Transaktionsbestätigung | Abonnement erfüllen | ✔ (nur Referenz) |
| Support-Kommunikation | E-Mail-Nachrichten, Feedback, Fehlerberichte | Kundensupport | ✔ |
| Cookies & lokaler Speicher | Session-Cookies, CSRF-Token, lokale App-Einstellungen | Website-Funktionalität, Sicherheit | ✔ |
Wir sammeln keine präzisen GPS-Standorte, Kontaktlisten, Werbe-IDs, Gesundheitsdaten oder Biometrie.
4. Wie wir die Daten verwenden
Rechtsgrundlagen nach DSGVO Art. 6 sind in ( ) angegeben.
- Bereitstellung und Synchronisation Ihrer Inhalte (Vertragserfüllung).
- Generierung von Thumbnails, Volltext- und Tag-Suchindizes auf dem Server: wir haben Lesezugriff auf Ihre Daten für Verarbeitung, Bereitstellung, Indexierung und Suchfunktionalität (berechtigtes Interesse).
- Offline-Funktionalität aufrechterhalten – alle Inhalte werden lokal gespeichert; Sync ist optional.
- Diagnose & Crash-Berichte zur Aufrechterhaltung der App-Zuverlässigkeit (berechtigtes Interesse).
- Sicherheit: Audit-Logs erkennen Missbrauch und stellen nach versehentlichen Löschungen wieder her (berechtigtes Interesse / vitales Interesse).
- Abrechnung & Compliance (rechtliche Verpflichtung).
- Marketing-Kommunikation bei Ihrer Einwilligung (Einwilligung - DSGVO Art. 6(1)(a)).
- Cookies: unbedingt erforderliche Cookies (berechtigtes Interesse); optionale Analyse-Cookies (Einwilligung).
Wir verkaufen niemals personenbezogene Daten oder verwenden sie für Werbung Dritter.
5. Weitergabe & Auftragsverarbeiter
Wir teilen Daten nur mit Dienstleistern, die durch Datenverarbeitungsverträge gebunden sind:
| Auftragsverarbeiter | Rolle | Region | Schutzmaßnahmen |
|---|---|---|---|
| Cloud-Hosting-Anbieter (Infomaniak) | Server, verschlüsselte Objektspeicherung | EU/US | SCCs / ISO 27001:2022 |
| Analyse-Dienste (Insighthub, Umami) | Crash- & Fehlerprotokollierung | US & EU | SCCs + IP-Anonymisierung |
| Apple / Google / Stripe | Zahlungen | Verschiedene | Eigene Compliance |
| Push-Benachrichtigungsanbieter (FCM, APNs) | Nachrichtenübermittlung | US | SCCs |
| E-Mail-Dienst (SendGrid) | Transaktionale E-Mails | US | SCCs |
Auftragsverarbeiterliste zuletzt aktualisiert: 2025-07-13. Wir benachrichtigen Nutzer 14 Tage vor Aufnahme neuer Verarbeiter.
6. Internationale Übertragungen
Wenn Daten den EWR verlassen, stützen wir uns auf Standardvertragsklauseln und das EU-US Data Privacy Framework (wo anwendbar) mit zusätzlichen Sicherheitsmaßnahmen.
7. Ihre Rechte
Unter der DSGVO (& UK GDPR/DSA/CCPA wo anwendbar) können Sie: • Ihre Daten einsehen oder exportieren ("Datenübertragbarkeit" – ZIP/JSON). • Notizen & Dateien korrigieren oder löschen. Löschung wirkt sich auf Server-Backups innerhalb von 30 Tagen aus. • Der Verarbeitung widersprechen oder Einschränkung verlangen. • Einwilligung für Marketing/Analyse widerrufen (betrifft nicht vertragsbasierte Verarbeitung). • Beschwerde bei Ihrer Aufsichtsbehörde einreichen.
Um diese Rechte auszuüben, senden Sie eine E-Mail an privacy@heaper.de; wir antworten innerhalb von 30 Tagen.
Zuständige Aufsichtsbehörde: Der Landesdatenschutzbeauftragte Mecklenburg-Vorpommern.
8. Sicherheitsmaßnahmen
• TLS 1.3 bei Übertragung; AES-256 im Ruhezustand. • E-Mail-Authentifizierungscodes mit kurzer Lebensdauer. • Sitzungen mit kurzlebigen Zugangstoken und längerlebigen widerrufbaren Refresh-Token. • Dezentrale Authentifizierung mit EDDSA-Public- und Private-Key-Challenges. • Anwendung hat Zugriff auf Nutzerdaten für operative Zwecke (Bereitstellung, Indexierung, Suche, Thumbnails). • Die Nutzerdateien und -daten werden auf ihr Gerät repliziert, um Offline-Nutzung zu ermöglichen, auch wenn der Server nicht erreichbar ist.
9. Datenspeicherung
| Datensatz | Speicherregel |
|---|---|
| Kontodaten & Abonnement-Daten | Solange Konto aktiv ist + 6 Jahre für Steuern |
| Notizen & Dateien | Bis Sie sie löschen oder 12 Monate nach Kontoschließung |
| Crash-Logs | 90 Tage rollierende Aufbewahrung |
| Server-Änderungsprotokolle | 30 Tage zur Lösung von Sync-Konflikten |
| Support-Kommunikation | 3 Jahre nach Lösung |
| Marketing-Einwilligungsaufzeichnungen | 3 Jahre nach Widerruf |
10. Automatisierte Entscheidungsfindung
Wir verwenden keine automatisierte Entscheidungsfindung oder Profiling, das rechtliche Auswirkungen auf Sie hat.
11. Kinder
Heaper ist nicht für Kinder unter 16 Jahren im EWR (13 anderswo) bestimmt. Wir sammeln wissentlich keine Daten von ihnen.
12. Änderungen
Wir werden alle Änderungen hier und in den Apps unter "Über → Datenschutz" 14 Tage vor Inkrafttreten veröffentlichen. Bei wesentlichen Änderungen werden wir eine Einwilligung über eine In-App-Eingabeaufforderung anfordern.
13. Kontakt
Datenschutzanfragen: support@heaper.de
Rechtliche/DSGVO-Anfragen: legal@heaper.de
Datenschutzbeauftragter (EU): Jan Lunge, Schloßstrasse 8a, 9273 Düssin
Es besteht ein Beschwerderecht bei einer Aufsichtsbehörde. Alle Einwilligungen, die auf Grundlage von DSGVO Art. 6 Nr. 1 Buchstabe a oder DSGVO Artikel 9 Nr. 2 Buchstabe a entstanden sind, können widerrufen werden.
Crafted with care by Jan Lunge
Independent software for independent minds