Datenschutz

Was wir mit deinen Daten machen.

Stand: 2026-05-19. Diese Erklärung beschreibt, welche Daten wir verarbeiten, warum, wie lange — und welche Rechte du hast.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

[BITTE AUSFÜLLEN: vollständiger Name / Firma]
[BITTE AUSFÜLLEN: Straße, Hausnummer]
[BITTE AUSFÜLLEN: PLZ, Ort]
E-Mail: [BITTE AUSFÜLLEN: kontakt@polaroll.app]

2. Welche Daten wir verarbeiten

2.1 Beim Anlegen eines Films (Host)

  • E-Mail-Adresse (für Login per Magic-Link)
  • Film-Metadaten: Titel, Reveal-Zeit, Tier, Gäste-Limit
  • Zahlungsdaten — bearbeitet ausschließlich durch Stripe

2.2 Beim Teilnehmen (Gäste)

  • Spitzname (frei wählbar, kein Klarname erforderlich)
  • Geräte-/Browser-Session-Token (für die Dauer des Films)
  • Hochgeladene Fotos — Ende-zu-Ende verschlüsselt bis zur Reveal-Zeit

2.3 Was wir nicht erfassen

  • Keine Cookies, kein Cross-Site-Tracking, keine Analytics-Pixel
  • Keine biometrische oder Bildinhalts-Analyse (wir lesen deine Fotos nicht)
  • Keine Drittanbieter-SDKs (kein Facebook-Pixel, kein Google-Tag)

3. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen wie Aufbewahrung von Rechnungen) und Art. 6 Abs. 1 lit. f DSGVO (Interesse an einem stabilen, missbrauchsfreien Betrieb).

4. Auftragsverarbeiter (Sub-Prozessoren)

Wir setzen folgende EU-ansässige Dienstleister ein:

  • Hetzner Online GmbH, Falkenstein (DE) — Hosting, Foto-Storage
  • Aiven Oy, Helsinki (FI), Datenstandort Frankfurt (DE) — PostgreSQL
  • Stripe Payments Europe Ltd., Dublin (IE) — Zahlungsabwicklung
  • ActiveCampaign / Postmark EU, Frankfurt (DE) — E-Mail (Magic-Link, Rechnungen)

Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO liegen mit allen Anbietern vor. Keine Datenübermittlung in Drittländer außerhalb der EU/EWR.

5. Speicherdauer

  • Fotos: bis zum Ende der gewählten Retention (14 / 30 / 60 Tage je Tier). Danach Hard-Delete, nicht wiederherstellbar.
  • Account-Daten Host: bis zur Löschung des Accounts in der App.
  • Rechnungsdaten: 10 Jahre (§ 147 AO, gesetzliche Aufbewahrungspflicht).

6. Deine Rechte

Nach Art. 15–22 DSGVO hast du das Recht auf:

  • Auskunft über deine gespeicherten Daten
  • Berichtigung unrichtiger Daten
  • Löschung („Recht auf Vergessenwerden")
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen die Verarbeitung
  • Beschwerde bei einer Aufsichtsbehörde — zuständig ist die Behörde am Sitz unseres Unternehmens [BITTE AUSFÜLLEN: zuständige Landesdatenschutzbehörde].

7. Account-Löschung

Du kannst deinen Account jederzeit in der App löschen. Alle Daten werden innerhalb von 30 Tagen unwiderruflich entfernt. Rechnungsdaten bleiben aufgrund der gesetzlichen Aufbewahrungspflicht erhalten — sie werden jedoch nicht mehr aktiv verarbeitet.

8. Kontakt

Fragen zum Datenschutz? [BITTE AUSFÜLLEN: datenschutz@polaroll.app]