Datenschutzhinweise lovetolisten App

Stand: 01. Mai 2026 · Version 2.0

Diese ergänzenden Datenschutzhinweise gelten zusätzlich zu unserer allgemeinen Datenschutzerklärung und beschreiben, wie wir mit Deinen personenbezogenen Daten umgehen, wenn Du die lovetolisten App nutzt.

Verantwortlicher

lovetolisten GmbH Roßbachstr. 9-13 88212 Ravensburg Deutschland E-Mail: datenschutz@lovetolisten.de

Kurzfassung

• Beim Aufruf der App werden technische Zugriffsdaten (IP, Geräteinformationen, Zeitstempel) verarbeitet und in Server-Logfiles für maximal 14 Tage gespeichert.
• Für Login, Profile, Kursfortschritt und Inhalte werden nur die Daten verarbeitet, die Du uns aktiv mitteilst (z. B. Name, E-Mail-Adresse, Antworten in Fragebögen).
• Wir setzen ausschließlich Auftrags­verarbeiter ein, mit denen wir DSGVO-konforme Verträge nach Art. 28 DSGVO geschlossen haben.
• Übergangsweise sind sowohl unsere bisherige App-Generation (auf FlutterFlow/Firebase-Basis) als auch die neue App-Generation (auf Hetzner/Supabase-Basis) parallel verfügbar. Welcher Anbieter Deine Daten verarbeitet, hängt davon ab, welche App-Version Du nutzt.

Hosting & Infrastruktur

Neue App-Generation (Hetzner + Supabase)

Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Deutschland. Die neue Generation der lovetolisten App (PWA/Web-App) wird auf Servern der Hetzner Online GmbH in Deutschland gehostet (Rechenzentrumsstandort Deutschland/EU). Eine Drittlandsübermittlung im Rahmen des Hostings findet nicht statt. Mit Hetzner haben wir einen Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Rechtsgrundlage Art. 6 Abs. 1 lit. b und f DSGVO. Datenschutzerklärung: https://www.hetzner.com/de/rechtliches/datenschutz.

Supabase Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992. Wir nutzen Supabase als Backend-as-a-Service für die neue App-Generation — insbesondere für Authentifizierung (Login/Registrierung), Datenbank (Profile, Kursfortschritt, Buchungen), Storage (App-Inhalte) und Edge Functions (Server-Logik). Die für uns relevanten Verarbeitungen erfolgen über die EU-Region (Frankfurt, AWS Frankfurt). Verarbeitet werden insbesondere E-Mail-Adresse, Login-Tokens, Profil- und Kursdaten sowie technische Verbindungsdaten. Mit Supabase haben wir einen Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Für Übermittlungen außerhalb der EU greifen die EU-Standardvertragsklauseln. Rechtsgrundlage Art. 6 Abs. 1 lit. b und f DSGVO. Datenschutzerklärung: https://supabase.com/privacy.

Sonja AI — KI-gestützte Unterstützungs­funktionen (Mistral AI) In der neuen App-Generation planen wir den Einsatz einer KI-gestützten Unterstützungs­funktion unter der Bezeichnung „Sonja AI” (z. B. Reflexions-Impulse, Auswertung Deiner Selbstauskunft, personalisierte Inhalts­empfehlungen). Die zugrunde­liegende Modell-Verarbeitung erfolgt — sobald die Funktion aktiv ist — ausschließlich über Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich, einen Anbieter mit Sitz und Modell-Infrastruktur in der Europäischen Union. Eine Drittlandsübermittlung im Rahmen der Modell-Inferenz findet nicht statt.

Mit Mistral haben wir einen Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Eingaben und Modell-Antworten werden nicht zum Training der Mistral-Modelle verwendet. Vor der Übergabe an das Modell werden direkt identifizierende Angaben (insbesondere Klarname, Kontakt­daten) pseudonymisiert oder entfernt; übermittelt werden nur die für die jeweilige Funktion erforderlichen Inhalte.

Soweit im Rahmen von Sonja AI besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet werden (insbesondere Angaben zu Gesundheit oder Sexualleben), erfolgt dies ausschließlich auf Grundlage Deiner gesonderten, ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die Du in der App separat erteilst und jederzeit mit Wirkung für die Zukunft widerrufen kannst. Rechtsgrundlage der Verarbeitung im Übrigen Art. 6 Abs. 1 lit. a und b DSGVO. Eine automatisierte Einzelentscheidung im Sinne des Art. 22 DSGVO findet nicht statt; die fachliche Bewertung bleibt ausschließlich bei uns bzw. Deinem Coach. Datenschutz Mistral AI: https://mistral.ai/terms#privacy-policy.

Bisherige App-Generation (FlutterFlow + Firebase)

Für unsere derzeit weiterhin verfügbare App-Generation kommen zusätzlich folgende Anbieter zum Einsatz:

Google Cloud Platform / Google Firebase Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Google Cloud / Firebase stellen für die bisherige App-Generation Hosting, Authentifizierung und Datenbank-Funktionen bereit. Verarbeitet werden insbesondere Login-Daten, Geräteinformationen und Nutzungsdaten. Die EU-Daten­speicherung erfolgt über europäische Rechenzentren; bei Drittlandsübermittlung greifen die EU-Standardvertragsklauseln. Mit Google haben wir die entsprechenden Auftragsverarbeitungs­bedingungen geschlossen. Rechtsgrundlage Art. 6 Abs. 1 lit. b und f DSGVO. Datenschutz: https://cloud.google.com/terms/cloud-privacy-notice, https://firebase.google.com/support/privacy.

FlutterFlow Inc. 750 North Shoreline Boulevard, Apartment 120, Mountain View, CA 94043, USA. FlutterFlow wird als Build- und Entwicklungs­plattform für die bisherige App-Generation eingesetzt. Eine Verarbeitung von Endnutzer-Daten findet im Regelfall nicht statt; lediglich bei Build- und Bereitstellungs­vorgängen werden technische Daten innerhalb der Entwicklungs­umgebung verarbeitet. Drittlands­transfer auf Grundlage der EU-Standardvertragsklauseln. Datenschutz: https://flutterflow.io/pp.html.

Codemagic (Nevercode OÜ) Akadeemia tee 3, 51003 Tartu, Estland. Codemagic kommt als CI/CD-Pipeline für die bisherige App-Generation zum Einsatz. Sitz und Verarbeitung innerhalb der EU. Datenschutz: https://codemagic.io/privacy-policy/.

App-Funktionen: Registrierung und Nutzerkonto

Wenn Du in der App ein Nutzerkonto anlegst, verarbeiten wir die folgenden Daten:

• Bestandsdaten: Name, ggf. Anschrift
• Kontaktdaten: E-Mail-Adresse, ggf. Telefonnummer
• Inhalts­daten: Eingaben in Formularen, Antworten in Fragebögen, Kursfortschritt
• Meta-/Kommunikationsdaten: Geräteinformationen, IP-Adresse, App-Version, Login-Tokens

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen und missbrauchsfreien Betrieb). Nach Kündigung Deines Nutzerkontos löschen wir Deine Daten, sofern keine gesetzliche Aufbewahrungs­pflicht entgegensteht.

Webanalyse

Plausible Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland. Wir setzen Plausible zur cookielosen, datenschutzfreundlichen Reichweiten­messung ein. Es werden keine Cookies gesetzt, keine personenbezogenen Daten erhoben und keine seiten- oder geräteübergreifenden Identifikatoren genutzt. Alle Daten werden auf EU-Servern verarbeitet. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Datenschutz: https://plausible.io/data-policy.

Google Analytics (nur bisherige App-Generation) Anbieter: Google Ireland Limited (siehe oben). In der bisherigen App-Generation kommt Google Analytics in pseudonymisierter Form (IP-Masking) zur Fehleranalyse und Nutzungs­statistik zum Einsatz. Die Verarbeitung erfolgt ausschließlich auf Grundlage Deiner ausdrücklichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Du kannst diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Opt-Out: https://tools.google.com/dlpage/gaoptout?hl=de.

Server-seitiges Tracking (Stape Europe)

Stape Europe OÜ, Tartu, Estland. Soweit serverseitiges Tracking für Marketing-Zwecke eingesetzt wird, erfolgt dies über eine EU-Proxy-Lösung („server-side Google Tag Manager”) in Estland. Die Speicherdauer beträgt maximal 14 Monate. Verarbeitet werden anonymisierte IP-Adressen, Online-Kennzeichnungen (Cookies, Advertising-IDs) und Nutzungsdaten. Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Datenschutz: https://stape.io/privacy-policy.

Umfragen und Fragebögen

Tally Tally BV, Land van Waaslaan 6, 9040 Gent (Sint-Amandsberg), Belgien. Für Fragebögen, Selbsttests und Feedback nutzen wir Tally. Verarbeitet werden insbesondere E-Mail-Adresse (zur Bestätigung), Testantworten und freiwillige Zusatzangaben. Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO. Datenschutz: https://tally.so/help/privacy-policy.

Video-Hosting

Mux Mux, Inc., 1182 Market Street, Suite 326, San Francisco, CA 94102, USA (EU-Niederlassung: Mux Spain, Llacuna 162, 08018 Barcelona, Spanien). Für die performante Auslieferung von App-Videos setzen wir Mux ein. Verarbeitet werden Zeitpunkt des Zugriffs, übertragene Datenmenge, Browser-/Geräteinformationen, Referrer und IP-Adresse. Datenstandort vorzugsweise EU. Bei Drittlandsbezug greifen die EU-Standardvertragsklauseln. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. DPA: https://www.mux.com/dpa. Datenschutz: https://www.mux.com/privacy.

E-Mail-Versand (Brevo)

Brevo SAS / Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland. Wir nutzen Brevo für transaktionale E-Mails (z. B. Buchungs­bestätigungen, Erinnerungen) sowie — bei entsprechender Einwilligung — für Newsletter. Server-Standort EU. Mit Brevo besteht ein Vertrag über Auftragsverarbeitung. Rechtsgrundlage Art. 6 Abs. 1 lit. a, b und f DSGVO. Details und Newsletter-Konditionen findest Du in unserer allgemeinen Datenschutzerklärung.

Fehleranalyse / Crash-Reports

Openpanel — Openpanel Tools OÜ, Sepapaja 6, 15551 Tallinn, Estland. In der bisherigen App-Generation setzen wir Openpanel zur Fehleranalyse und Erfassung von Crash-Reports ein. Verarbeitet werden ausschließlich technische Telemetriedaten ohne direkten Personenbezug (anonymisierte Fehler-Stacks, Geräteinformationen, App-Version, Betriebssystem). Server-Standort EU. Aufbewahrungsdauer der Crash-Logs maximal 90 Tage, danach automatische Löschung. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit der App). Datenschutz: https://openpanel.dev/privacy.

Push-Benachrichtigungen und Werbe-IDs

Push-Benachrichtigungen Wenn Du in der App Push-Benachrichtigungen aktivierst, verarbeiten wir einen geräte­spezifischen Push-Token, der uns von Apple Push Notification service (APNs) der Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA, bzw. von Firebase Cloud Messaging (FCM) der Google Ireland Limited (siehe oben) bereitgestellt wird. Wir nutzen diesen Token ausschließlich, um Dir App-Benachrichtigungen (z. B. Termin­erinnerungen, neue Inhalte, Status­meldungen) zuzustellen. Du kannst die Push-Benachrichtigungen jederzeit in den Betriebssystem-Einstellungen Deines Geräts deaktivieren; der Token wird in diesem Fall ungültig. Rechtsgrundlage ist Deine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die Du durch Aktivieren der Benachrichtigungen erteilst und jederzeit widerrufen kannst.

Werbe-IDs / App Tracking Transparency (Apple ATT) Auf iOS-Geräten fragt iOS Dich seit Version 14.5 über das App Tracking Transparency (ATT)-Framework, ob die App auf Deine Werbe-ID (IDFA) zugreifen darf. Wir respektieren Deine Entscheidung; ohne Deine ausdrückliche Zustimmung greifen wir nicht auf die IDFA zu und betreiben kein App-übergreifendes Tracking. Auf Android-Geräten verhält es sich analog mit der Google Advertising ID (AAID). Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO. Du kannst Deine Entscheidung jederzeit in den Systemeinstellungen Deines Geräts ändern.

Anmeldung über Drittanbieter (Single Sign-On)

Sofern unsere App Dir die Anmeldung über Drittanbieter-Dienste anbietet, gilt zusätzlich Folgendes:

• Apple ID („Sign in with Apple”) — Apple Inc., Cupertino, CA, USA. Bei der Anmeldung werden uns Deine Apple-ID (oder eine von Dir freigegebene relay-E-Mail-Adresse), Dein Name (sofern freigegeben) sowie ein Authentifizierungs-Token übermittelt. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.
• Google Sign-In — Google Ireland Limited (siehe oben). Bei der Anmeldung werden uns Deine Google-Konto-Kennung, E-Mail-Adresse, ggf. Name und Profilbild sowie ein Authentifizierungs-Token übermittelt. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.

Wir verarbeiten ausschließlich die für die Anmeldung und Konto-Verknüpfung erforderlichen Daten. Bei Drittlands­transfer greifen die EU-Standardvertragsklauseln und ggf. das EU-US Data Privacy Framework.

Verteilung über die App-Stores

Unsere App wird über den Apple App Store (Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland) und den Google Play Store (Google Ireland Limited, siehe oben) zum Download bereitgestellt. Beim Herunterladen, Aktualisieren und Bewerten der App werden personenbezogene Daten von den Store-Betreibern in eigener Verantwortung verarbeitet (insbesondere Apple-ID bzw. Google-Konto, Gerätedaten, Zahlungs­informationen bei kostenpflichtigen Apps, Download-Verlauf). Auf diese Verarbeitung haben wir keinen Einfluss. Es gelten die jeweiligen Datenschutzhinweise der Store-Betreiber:

• Apple: https://www.apple.com/legal/privacy/de-ww/
• Google: https://policies.google.com/privacy

Aktuell bieten wir innerhalb der App keine In-App-Käufe an. Sollten zukünftig kostenpflichtige Inhalte direkt über die App buchbar werden, informieren wir Dich vor dem Kauf gesondert.

Übergang zwischen alter und neuer App-Generation

Solange die bisherige und die neue App-Generation parallel verfügbar sind, kannst Du die genutzte Variante an der App-Version und am Login-Vorgang erkennen (die alte Version ist eine native FlutterFlow-App; die neue Version wird als Progressive Web App über app.lovetolisten.de bereitgestellt). Welche Anbieter Deine Daten verarbeiten, hängt von der konkret genutzten Variante ab; eine doppelte Verarbeitung findet nicht statt.

Bei einer aktiven Migration von der alten in die neue Generation übertragen wir nur die für die Fortsetzung Deiner Nutzung notwendigen Daten (insbesondere Login-E-Mail, Profil­basisdaten und Kurszuordnungen). Inhalts- und Verlaufsdaten der alten Generation werden Dir vor Migration zur Bestätigung angezeigt; nicht migrierte Daten löschen wir spätestens 90 Tage nach Abschluss der Migration.

Speicherdauer

Sobald Daten für die genannten Zwecke nicht mehr erforderlich sind und keine gesetzliche Aufbewahrungs­pflicht entgegensteht, werden sie gelöscht oder anonymisiert.

Deine Rechte

Du hast jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO) — jeweils mit Wirkung für die Zukunft. Wende Dich hierfür an datenschutz@lovetolisten.de.

Außerdem hast Du das Recht, Dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Königstraße 10a, 70173 Stuttgart https://www.baden-wuerttemberg.datenschutz.de

Datenübermittlung in Drittländer

Soweit Daten in Drittländer (insbesondere die USA) übermittelt werden, stützt sich die Übermittlung auf EU-Standardvertragsklauseln gemäß Art. 46 DSGVO, eine Zertifizierung nach dem EU-US Data Privacy Framework oder auf Deine ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO. Wir setzen ausschließlich Anbieter ein, mit denen geeignete Garantien zum Schutz Deiner Daten vereinbart sind.

Änderungen dieser Hinweise

Wir behalten uns vor, diese ergänzenden Datenschutzhinweise anzupassen, um auf rechtliche oder organisatorische Änderungen zu reagieren (insbesondere im Verlauf des Übergangs von der bisherigen zur neuen App-Generation). Die jeweils aktuelle Fassung findest Du auf dieser Seite. Wesentliche Änderungen kommunizieren wir Dir gesondert.

Stand: 01. Mai 2026 · Version 2.0