Datenschutzerklärung — OutAndAbout App
Stand: 30. März 2026 | Version: 1.0
Inhaltsverzeichnis
- Verantwortlicher
- Übersicht der Verarbeitungen
- Allgemeine Hinweise und Pflichtinformationen
- Hosting und technische Infrastruktur
- Benutzerkonto und Registrierung
- Soziale Anmeldung (Social Login)
- Geräteberechtigungen
- Standortdaten und Kartendienste
- Analyse und Performance
- Fehlerüberwachung (Crash Reporting)
- Werbung
- In-App-Käufe und Abonnements
- Push-Benachrichtigungen
- Externe Dienste und Inhalte
- Barcode-Scanner und Produkterkennung
- Nutzergenerierte Inhalte und soziale Funktionen
- Bild-Caching und Netzwerk-Kommunikation
- Lokale Datenspeicherung
- Datenübermittlung in Drittländer
- Speicherdauer
- Automatisierte Entscheidungsfindung
- Ihre Rechte als betroffene Person
- Nutzung durch Minderjährige
- Datenexport und Kontolöschung
- Änderungen dieser Datenschutzerklärung
- Hinweis
1. Verantwortlicher
Benjamin Würth 2W Digital (Einzelunternehmen) Augsburger Straße 751 70329 Stuttgart Deutschland
E-Mail: hello@w-w-digital.com
Aufgrund der Größe unseres Unternehmens (Einzelunternehmen) besteht keine Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 38 BDSG). Bei Fragen zum Datenschutz wenden Sie sich an hello@w-w-digital.com.
2. Übersicht der Verarbeitungen
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen App sowie unserer Inhalte und Leistungen erforderlich ist oder Sie in die Verarbeitung eingewilligt haben.
| Datenverarbeitung | Rechtsgrundlage | Drittanbieter |
|---|---|---|
| Benutzerkonto (E-Mail/Passwort) | Art. 6(1)(b) Vertrag | Google Ireland Ltd. (Firebase Auth) |
| Google Sign-In | Art. 6(1)(b) Vertrag | Google Ireland Ltd. |
| Apple Sign-In | Art. 6(1)(b) Vertrag | Apple Inc. |
| App-Datenbank (Firestore) | Art. 6(1)(b) Vertrag | Google Ireland Ltd. (europe-west3) |
| Medien-Speicherung | Art. 6(1)(b) Vertrag | Google Ireland Ltd. (Firebase Storage) |
| Analyse (Firebase Analytics) | Art. 6(1)(a) Einwilligung | Google Ireland Ltd. |
| Fehlerberichte (Crashlytics) | Art. 6(1)(a) Einwilligung | Google Ireland Ltd. |
| Performance Monitoring | Art. 6(1)(a) Einwilligung | Google Ireland Ltd. |
| Werbung (Google AdMob) | Art. 6(1)(a) Einwilligung | Google Ireland Ltd. |
| In-App-Käufe (RevenueCat) | Art. 6(1)(b) Vertrag | RevenueCat, Inc. |
| Push-Benachrichtigungen (FCM) | Art. 6(1)(b) Vertrag | Google Ireland Ltd. |
| Standort / Karten | Art. 6(1)(a) Einwilligung | Google Ireland Ltd. / OSM Foundation |
| Barcode-Lookup | Art. 6(1)(b) Vertrag | Open Food Facts |
| Schriftarten (Google Fonts) | Art. 6(1)(f) berecht. Interesse | Google LLC |
| API-Schutz (App Check) | Art. 6(1)(f) berecht. Interesse | Google Ireland Ltd. |
3. Allgemeine Hinweise und Pflichtinformationen
Betroffenenrechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten. Unsere App bietet hierfür eine integrierte Exportfunktion (siehe Abschnitt 23).
- Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Art. 6(1)(f) DSGVO beruht.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung Ihrer Rechte wenden Sie sich an: hello@w-w-digital.com
Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20 70173 Stuttgart https://www.lfdi.bwl.de
Widerruf Ihrer Einwilligung
Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z. B. Analyse, Crashlytics, Werbung), können Sie diese jederzeit widerrufen. Den Widerruf können Sie in den App-Einstellungen unter „Datenschutz" vornehmen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
SSL-/TLS-Verschlüsselung
Diese App nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung für die gesamte Datenübertragung zwischen der App und unseren Servern.
Pflicht zur Bereitstellung der Daten (Art. 13 Abs. 2 lit. e DSGVO): Die Bereitstellung von E-Mail-Adresse und Anzeigename ist für die Nutzung der App zwingend erforderlich (Vertragsabschluss). Ohne diese Daten kann kein Benutzerkonto erstellt werden. Alle übrigen Datenbereitstellungen sind freiwillig; bei deren Nichtbereitstellung stehen einzelne Funktionen (z. B. Standort-basierte Features, personalisierte Werbung) nicht zur Verfügung.
4. Hosting und technische Infrastruktur
Google Firebase / Google Cloud Platform
Unsere App nutzt Google Firebase als Backend-Infrastruktur. Die Server befinden sich in der Region europe-west3 (Frankfurt am Main, Deutschland).
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Verarbeitete Daten: Alle in dieser App gespeicherten Daten werden auf Firebase-Servern in Frankfurt verarbeitet. Dazu gehören Server-Logfiles (IP-Adresse, Zugriffszeitpunkt, Anfrage-Details).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und effizienten Bereitstellung der App).
Auftragsverarbeitung: Mit Google Ireland Ltd. besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Google Cloud Data Processing Addendum).
Speicherdauer: Server-Logs werden gemäß Google-Cloud-Standardkonfiguration nach 30 Tagen gelöscht.
Firebase App Check
Zum Schutz unserer Backend-Ressourcen vor Missbrauch setzen wir Firebase App Check ein. Dabei wird überprüft, ob Anfragen von einer authentischen Instanz unserer App stammen.
Verarbeitete Daten: App-Attestierungstoken, Geräte-Token.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor API-Missbrauch).
5. Benutzerkonto und Registrierung
Firebase Authentication
Für die Registrierung und Anmeldung nutzen wir Firebase Authentication von Google Ireland Limited.
Verarbeitete Daten: Je nach Anmeldemethode: E-Mail-Adresse, Passwort (verschlüsselt als Hash gespeichert), Anzeigename, Profilbild-URL, Provider-spezifische ID.
Zusätzlich in der App gespeicherte Profildaten: Benutzername, Emoji-Avatar, Profilbild (bei Upload), Erfahrungspunkte (XP), Check-in-Statistiken, Streak-Daten, Premium-Status, Erstellungsdatum.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Registrierung ist Voraussetzung für die Nutzung der App-Funktionen).
Speicherdauer: Bis zur Löschung des Benutzerkontos durch den Nutzer.
6. Soziale Anmeldung (Social Login)
Google Sign-In
Sie können sich mit Ihrem Google-Konto in der App anmelden.
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Übermittelte Daten: Anzeigename, E-Mail-Adresse, Profilbild-URL, Google-Nutzer-ID.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: USA. Google ist unter dem EU-US Data Privacy Framework zertifiziert.
Weitere Informationen: https://policies.google.com/privacy
Apple Sign-In
Sie können sich mit Ihrer Apple-ID in der App anmelden (iOS).
Anbieter: Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irland (verantwortlich für EU-Nutzer); verbundenes Unternehmen: Apple Inc., Cupertino, CA 95014, USA.
Übermittelte Daten: E-Mail-Adresse (kann von Apple privatisiert werden über den „Hide My Email"-Dienst), User-ID-Token.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: USA. Apple ist unter dem EU-US Data Privacy Framework zertifiziert.
Weitere Informationen: https://www.apple.com/legal/privacy/
Datenquelle (Art. 14 DSGVO): Bei Nutzung von Google Sign-In bzw. Apple Sign-In erhalten wir Ihre Daten direkt von Google Ireland Limited bzw. Apple Distribution International Limited. Die Datenkategorien sind jeweils oben angegeben. Rechtsgrundlage für diese Übermittlung ist Ihre Einwilligung beim Login-Dialog bei Google/Apple.
7. Geräteberechtigungen
Die App fordert folgende Geräteberechtigungen an, die Sie jederzeit in den Systemeinstellungen Ihres Geräts widerrufen können:
Kamera
Zweck: Aufnehmen von Profilbildern, Scannen von QR-Codes (Freundschaftsanfragen) und Scannen von Produkt-Barcodes (Getränkeerkennung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Erteilung der Geräteberechtigung).
Hinweis: Kameraaufnahmen werden nur auf Ihre aktive Aktion hin erstellt. Es findet kein dauerhafter Kamerazugriff im Hintergrund statt.
Fotogalerie
Zweck: Auswahl eines Profilbildes aus Ihrer Fotogalerie.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Hinweis: Es wird nur das von Ihnen ausgewählte Bild verarbeitet. Die App greift nicht auf andere Fotos zu.
Standort
Zweck: Ermittlung Ihres aktuellen Standorts für Check-ins (nahegelegene Bars, Restaurants etc. finden und Ihren Freunden Ihren ungefähren Aufenthaltsort zeigen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Erteilung der Standortberechtigung).
Genauigkeit: Die App nutzt GPS (Feinstandort) für eine Genauigkeit von ca. 20 Metern.
Hinweis: Der Standort wird nur beim Check-in abgefragt und für 5 Minuten lokal zwischengespeichert. Die GPS-Koordinaten eines Check-ins werden dauerhaft in Ihrem Post gespeichert und sind für Ihre Freunde sichtbar.
Push-Benachrichtigungen
Zweck: Benachrichtigungen über Freundschaftsanfragen, Nachrichten, Check-ins von Freunden, Challenges und weitere App-Aktivitäten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Ihrer Erteilung der Notification-Berechtigung.
8. Standortdaten und Kartendienste
Google Maps
Für die Darstellung von Check-in-Standorten auf einer Karte nutzen wir Google Maps.
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Verarbeitete Daten: GPS-Koordinaten, IP-Adresse, Geräteinformationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Kartenansicht ist Kernfunktion der App).
Drittlandtransfer: USA. Google ist unter dem EU-US Data Privacy Framework zertifiziert.
Weitere Informationen: https://policies.google.com/privacy
OpenStreetMap (Overpass API)
Zur Erkennung nahegelegener Locations (Bars, Restaurants, Cafés) nutzen wir die Overpass API des OpenStreetMap-Projekts.
Anbieter: OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich.
Verarbeitete Daten: GPS-Koordinaten (Längen-/Breitengrad), Suchradius (100 Meter).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung standortbasierter Funktionen).
Drittlandtransfer: Vereinigtes Königreich. Es besteht ein Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich.
OpenStreetMap (Nominatim)
Zur Umwandlung von GPS-Koordinaten in lesbare Ortsangaben (Reverse Geocoding) nutzen wir den Nominatim-Dienst.
Anbieter: OpenStreetMap Foundation (wie oben).
Verarbeitete Daten: GPS-Koordinaten, IP-Adresse (in Server-Logs).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
9. Analyse und Performance
Firebase Analytics
Diese App nutzt Firebase Analytics, einen Analysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Firebase Analytics erfasst Nutzungsdaten wie App-Öffnungen, Bildschirmaufrufe und Interaktionen, um die App zu verbessern.
Firebase Analytics wird nur mit Ihrer ausdrücklichen Einwilligung aktiviert. Sie können die Einwilligung bei der erstmaligen Nutzung der App erteilen oder verweigern und jederzeit in den App-Einstellungen ändern.
Verarbeitete Daten: App-Nutzungsverhalten (Events wie Check-ins, Freundschaftsanfragen, Käufe), Geräte-ID (Instance ID), IP-Adresse (anonymisiert durch IP-Masking), Betriebssystem und Version, App-Version.
Nutzer-Eigenschaften: User-ID (pseudonymisiert), Premium-Status, Level, Sprache.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TTDSG.
Drittlandtransfer: USA. Google ist unter dem EU-US Data Privacy Framework zertifiziert.
Speicherdauer: Die Daten werden für 14 Monate gespeichert und danach automatisch gelöscht.
Widerruf: Sie können die Datenerfassung durch Firebase Analytics jederzeit in den App-Einstellungen unter „Datenschutz" deaktivieren.
Weitere Informationen: https://firebase.google.com/support/privacy
Firebase Performance Monitoring
Zur Überwachung der App-Performance nutzen wir Firebase Performance Monitoring.
Verarbeitete Daten: App-Startzeiten, Netzwerk-Latenzen, Bildschirm-Renderzeiten, Gerätedaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — an die Analytics-Einwilligung gekoppelt).
Speicherdauer: 90 Tage.
10. Fehlerüberwachung (Crash Reporting)
Firebase Crashlytics
Zur Erkennung und Behebung von App-Fehlern und Abstürzen nutzen wir Firebase Crashlytics von Google Ireland Limited.
Crashlytics wird nur mit Ihrer ausdrücklichen Einwilligung aktiviert. Sie können diese separat von der Analytics-Einwilligung steuern.
Verarbeitete Daten: Absturzberichte (Stack Traces), Geräteinformationen (Modell, Hersteller), Betriebssystem und Version, App-Version, IP-Adresse (anonymisiert), Zeitpunkt des Fehlers.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TTDSG.
Drittlandtransfer: USA. Google ist unter dem EU-US Data Privacy Framework zertifiziert.
Speicherdauer: 90 Tage.
Widerruf: Sie können Crashlytics jederzeit in den App-Einstellungen unter „Datenschutz" deaktivieren.
11. Werbung
Google AdMob
Diese App zeigt Nutzern ohne Premium-Abonnement Werbeanzeigen über Google AdMob an.
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Werbeformate: Banner-Anzeigen, Interstitial-Anzeigen (Vollbild), belohnungsbasierte Anzeigen (Rewarded Ads).
Verarbeitete Daten: Geräte-ID, Advertising ID (IDFA auf iOS / GAID auf Android), IP-Adresse, ungefährer Standort, Nutzungsverhalten innerhalb der App, Alter und Geschlecht (soweit verfügbar).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TTDSG. Die Einwilligung wird über den Consent-Dialog bei erstmaliger Nutzung eingeholt.
Drittlandtransfer: USA. Google ist unter dem EU-US Data Privacy Framework zertifiziert.
Personalisierung: Mit Ihrer Einwilligung werden personalisierte Anzeigen ausgespielt. Ohne Einwilligung werden nicht-personalisierte Anzeigen angezeigt.
Premium-Nutzer: Nutzer mit einem aktiven OutAndAbout Pro-Abonnement sehen keine Werbeanzeigen.
Widerruf / Opt-out: Sie können personalisierte Werbung deaktivieren:
- iOS: Einstellungen → Datenschutz & Sicherheit → Tracking → OutAndAbout deaktivieren
- Android: Einstellungen → Google → Anzeigen → Personalisierte Werbung deaktivieren
Weitere Informationen: https://policies.google.com/technologies/ads
App Tracking Transparency (iOS)
Auf iOS-Geräten (ab iOS 14.5) wird über den Apple App Tracking Transparency-Dialog um Ihre Einwilligung gebeten, bevor Ihr Gerät für personalisierte Werbung über Apps hinweg verfolgt werden kann.
Verarbeitete Daten: IDFA (Identifier for Advertisers).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
12. In-App-Käufe und Abonnements
RevenueCat
Für die Verwaltung von In-App-Käufen und Abonnements nutzen wir RevenueCat.
Anbieter: RevenueCat, Inc., 633 Tarava St Suite 101, San Francisco, CA 94116, USA.
Verarbeitete Daten: App-User-ID (Firebase UID), Kaufhistorie, Abonnement-Status (aktiv/inaktiv/abgelaufen), Produkt-IDs, Geräte-ID, IP-Adresse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Verarbeitung ist erforderlich für die Bereitstellung kostenpflichtiger Funktionen).
Drittlandtransfer: USA. RevenueCat ist unter dem EU-US Data Privacy Framework zertifiziert.
Speicherdauer: Für die Dauer des Vertragsverhältnisses und darüber hinaus gemäß gesetzlicher Aufbewahrungspflichten (z. B. steuerliche Aufbewahrungspflicht von 10 Jahren gemäß § 147 AO).
Zahlungsabwicklung: Die eigentliche Zahlungsabwicklung erfolgt ausschließlich über den Apple App Store bzw. Google Play Store. Wir erhalten keine Zahlungsdaten (Kreditkartennummern etc.).
Weitere Informationen: https://www.revenuecat.com/privacy
Verfügbare Abonnements
- OutAndAbout Pro Monatlich — Monatliches Abonnement
- OutAndAbout Pro Jährlich — Jährliches Abonnement
- OutAndAbout Pro Lifetime — Einmalkauf
Preise werden vor Kaufabschluss im jeweiligen Store transparent angezeigt. Die Kündigung von Abonnements erfolgt über die Abo-Verwaltung des jeweiligen Stores.
13. Push-Benachrichtigungen
Firebase Cloud Messaging (FCM)
Für den Versand von Push-Benachrichtigungen nutzen wir Firebase Cloud Messaging.
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Verarbeitete Daten: FCM-Token (eine gerätespezifische Kennung), Zeitstempel der letzten Token-Aktualisierung.
Arten von Benachrichtigungen: Freundschaftsanfragen, neue Nachrichten, Check-ins von Freunden, Reaktionen und Kommentare, Challenge-Einladungen und -Updates, Broadcasts, Badge- und Level-Benachrichtigungen, Gutschein-Benachrichtigungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für transaktionale Benachrichtigungen (Freundschaftsanfragen, Nachrichten); Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG für ergänzende Benachrichtigungen (Challenges, Broadcasts, Badges). Die Benachrichtigungsberechtigung des Betriebssystems gilt als Einwilligung; Sie können diese jederzeit in den Geräteeinstellungen deaktivieren.
Drittlandtransfer: USA. Google ist unter dem EU-US Data Privacy Framework zertifiziert.
Speicherdauer: FCM-Tokens werden in Ihrem Nutzerprofil gespeichert und bei Kontolöschung entfernt. Ungültige Tokens werden automatisch bereinigt.
Opt-out: Sie können Push-Benachrichtigungen jederzeit in den Systemeinstellungen Ihres Geräts deaktivieren.
14. Externe Dienste und Inhalte
Google Fonts
Diese App bündelt alle benötigten Schriftarten lokal (im App-Bundle). Es findet kein Datentransfer an Google-Server für Schriftarten statt.
Rechtsgrundlage: Entfällt — keine Datenübermittlung.
Teilen-Funktion (Share)
Die App bietet eine Teilen-Funktion, über die Sie Inhalte (Links, Statistiken, DSGVO-Datenexport) über die systemeigene Teilen-Funktion Ihres Geräts an andere Apps weitergeben können.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Sie lösen das Teilen aktiv aus und wählen die Ziel-App selbst).
15. Barcode-Scanner und Produkterkennung
Open Food Facts API
Zur Identifikation von Getränken über Barcode-Scan nutzen wir die offene Datenbank Open Food Facts.
Anbieter: Open Food Facts, 21 rue Alexandre Dumas, 75011 Paris, Frankreich.
Verarbeitete Daten: EAN/UPC-Barcodenummer des gescannten Produkts, User-Agent der App.
Hinweis: Es werden keine personenbezogenen Daten (Name, E-Mail, Standort etc.) an Open Food Facts übermittelt. Es wird nur die Barcodenummer gesendet, um Produktinformationen (Name, Kategorie) abzurufen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Produkterkennung ist Kernfunktion der App).
Drittlandtransfer: Nein. Die Server stehen in der EU (Frankreich).
Weitere Informationen: https://world.openfoodfacts.org/terms-of-use
16. Nutzergenerierte Inhalte und soziale Funktionen
Die App ermöglicht es Ihnen, eigene Inhalte zu erstellen und mit anderen Nutzern zu interagieren:
Arten von Inhalten:
- Check-in-Posts (Getränk, Standort, optionales Foto, Kommentar)
- Kommentare und Reaktionen auf Posts anderer Nutzer
- Chat-Nachrichten (Einzel- und Gruppen-Chat) mit optionalen Medien
- Profilbild und Benutzername
- Broadcasts (Kurznachrichten an Freunde)
- Gruppen und Events
- Challenges (Herausforderungen mit anderen Nutzern)
- Gutscheine (Vouchers)
Sichtbarkeit: Ihre Posts und Ihr Profil sind für Ihre bestätigten Freunde sichtbar. Chat-Nachrichten sind nur für die beteiligten Gesprächspartner sichtbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Inhalte werden gespeichert, bis Sie sie löschen oder Ihr Konto löschen.
17. Bild-Caching und Netzwerk-Kommunikation
Bild-Caching
Zur Verbesserung der Ladezeiten werden Profilbilder und Post-Bilder lokal auf Ihrem Gerät zwischengespeichert (Caching). Die Bilder werden dabei von Firebase Storage geladen und temporär auf Ihrem Gerät gespeichert.
Rechtsgrundlage: § 25 Abs. 2 TTDSG (technisch erforderlich) / Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an schnellen Ladezeiten).
Netzwerk-Kommunikation
Die App kommuniziert mit den unter den jeweiligen Abschnitten genannten Servern über verschlüsselte HTTPS-Verbindungen. Dabei wird Ihre IP-Adresse technisch bedingt übermittelt.
QR-Codes
Die App generiert QR-Codes, die Ihre Benutzer-ID enthalten, um die Freundschafts-Vernetzung zu erleichtern. Die QR-Code-Generierung erfolgt vollständig lokal auf Ihrem Gerät — es werden keine Daten an externe Dienste übermittelt.
OpenStreetMap-Karten (flutter_map)
Neben Google Maps nutzt die App auch eine OpenStreetMap-basierte Kartendarstellung für bestimmte Ansichten.
Anbieter: OpenStreetMap Foundation (siehe Abschnitt 8).
Verarbeitete Daten: IP-Adresse, angefragter Kartenausschnitt (Koordinaten, Zoomstufe).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
18. Lokale Datenspeicherung
Die App speichert bestimmte Daten lokal auf Ihrem Gerät mithilfe von SharedPreferences (Android) bzw. NSUserDefaults (iOS):
Gespeicherte Daten:
- Einwilligungs-Status (Analytics, Crashlytics, Zeitstempel, Version)
- Darstellungseinstellungen (Theme, Sprache)
- Onboarding-Status
Rechtsgrundlage: § 25 Abs. 2 TTDSG (technisch erforderliche Speicherung auf dem Endgerät) / Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Hinweis: Diese Daten verlassen Ihr Gerät nicht und werden bei Deinstallation der App gelöscht.
19. Datenübermittlung in Drittländer
Einige der von uns eingesetzten Dienste haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR). Wir übermitteln personenbezogene Daten nur in Drittländer, für die ein angemessenes Datenschutzniveau gewährleistet ist.
| Dienst | Anbieter | Sitz | Garantie |
|---|---|---|---|
| Firebase (Auth, Firestore, Storage, Functions) | Google Ireland Ltd. | Server: EU (Frankfurt) | AV-Vertrag, Google Cloud DPA |
| Firebase Analytics | Google Ireland Ltd. | Verarbeitung: USA | EU-US Data Privacy Framework |
| Firebase Crashlytics | Google Ireland Ltd. | Verarbeitung: USA | EU-US Data Privacy Framework |
| Firebase Performance | Google Ireland Ltd. | Verarbeitung: USA | EU-US Data Privacy Framework |
| Firebase Cloud Messaging | Google Ireland Ltd. | Verarbeitung: USA | EU-US Data Privacy Framework |
| Google AdMob | Google Ireland Ltd. | Verarbeitung: USA | EU-US Data Privacy Framework |
| Google Maps | Google Ireland Ltd. | Verarbeitung: USA | EU-US Data Privacy Framework |
| Google Sign-In | Google Ireland Ltd. | Verarbeitung: USA | EU-US Data Privacy Framework |
| Google Fonts | Google LLC | USA | EU-US Data Privacy Framework |
| Apple Sign-In | Apple Inc. | USA | EU-US Data Privacy Framework |
| RevenueCat | RevenueCat, Inc. | USA | EU-US Data Privacy Framework |
| OpenStreetMap | OSM Foundation | UK | Angemessenheitsbeschluss EU-UK |
| Open Food Facts | Open Food Facts | Frankreich (EU) | Kein Drittlandtransfer |
Hinweis zum EU-US Data Privacy Framework (DPF): Die genannten US-Anbieter sind unter dem Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 für das EU-US Data Privacy Framework zertifiziert. Sollte das DPF seine Gültigkeit verlieren, stützen wir die Übermittlung auf die Standardvertragsklauseln der EU-Kommission (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als Rückfallmechanismus.
20. Speicherdauer
| Datenart | Speicherdauer | Bedingung |
|---|---|---|
| Benutzerkonto und Profildaten | Bis zur Kontolöschung | Nutzer kann jederzeit löschen |
| Posts, Kommentare, Reaktionen | Bis zur Löschung durch Nutzer oder Kontolöschung | — |
| Chat-Nachrichten | Bis zur Löschung durch Nutzer oder Kontolöschung | — |
| Profilbilder, Post-Bilder, Chat-Medien | Bis zur Löschung durch Nutzer oder Kontolöschung | — |
| Standortdaten in Posts | Bis zur Post-Löschung oder Kontolöschung | — |
| Standort-Cache (lokal) | 5 Minuten | Automatisch |
| Firebase Analytics Daten | 14 Monate | Automatische Löschung |
| Crashlytics-Berichte | 90 Tage | Automatische Löschung |
| Performance-Daten | 90 Tage | Automatische Löschung |
| FCM-Token | Bis Kontolöschung oder Token-Ungültigkeit | Automatische Bereinigung |
| Kaufbelege / Abo-Daten | Vertragsdauer + 10 Jahre (§ 147 AO) | Gesetzliche Aufbewahrungspflicht |
| Consent-Einstellungen (lokal) | Bis App-Deinstallation | Automatisch |
| Server-Logs | 30 Tage | Automatische Löschung |
21. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Hinweis: Die App nutzt ein Gamification-System (XP, Level, Streaks, Badges), das auf Ihren Aktivitäten basiert. Diese Berechnungen dienen ausschließlich der Unterhaltung und haben keine rechtlichen oder wirtschaftlichen Auswirkungen.
22. Ihre Rechte als betroffene Person
Neben den in Abschnitt 3 genannten Rechten möchten wir besonders auf folgende Möglichkeiten hinweisen:
Widerspruch gegen Direktwerbung (Art. 21 Abs. 2 DSGVO): Soweit wir Ihre Daten für Direktwerbung nutzen, können Sie jederzeit Widerspruch einlegen. Nach Ihrem Widerspruch werden Ihre Daten nicht mehr für Direktwerbung verwendet.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Die App bietet eine integrierte DSGVO-Export-Funktion (siehe Abschnitt 23), über die Sie alle Ihre Daten in einem strukturierten, maschinenlesbaren Format (JSON) herunterladen können.
22a. Nutzung durch Minderjährige
Unsere App richtet sich ausschließlich an Personen ab 16 Jahren (siehe AGB § 1 Abs. 4). Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten Sie feststellen, dass wir ohne entsprechende Einwilligung der Erziehungsberechtigten Daten eines Kindes unter 16 Jahren erhoben haben, kontaktieren Sie uns bitte unter hello@w-w-digital.com; wir werden die Daten unverzüglich löschen (Art. 8 Abs. 2 DSGVO).
23. Datenexport und Kontolöschung
Datenexport (Art. 15/20 DSGVO)
Die App bietet eine integrierte Funktion zum Export aller Ihrer personenbezogenen Daten. Sie finden diese in den App-Einstellungen unter „Konto" → „Daten exportieren".
Exportierte Daten umfassen: Profildaten, alle Posts, Kommentare, Freundschaften, Gruppen, Events, Gutscheine, Conversations, Nachrichten, Benachrichtigungseinstellungen, Broadcasts, Challenges, Quick Replies und Verweise auf Ihre gespeicherten Medien.
Format: JSON-Datei, die über die Teilen-Funktion Ihres Geräts gespeichert oder weitergegeben werden kann.
Kontolöschung (Art. 17 DSGVO)
Sie können Ihr Konto und alle damit verbundenen Daten jederzeit vollständig löschen. Die Löschung umfasst:
- Alle Firestore-Daten (Profil, Posts, Nachrichten, Freundschaften, Gruppen etc.)
- Alle gespeicherten Medien (Profilbilder, Post-Bilder, Chat-Medien)
- Das Firebase-Authentifizierungskonto
Die Löschung ist unwiderruflich und wird in der Regel innerhalb von 30 Tagen nach Antrag in Stapelverarbeitung abgeschlossen.
Hinweis: Kaufbelege bei RevenueCat und den App Stores unterliegen gesetzlichen Aufbewahrungspflichten und können nach Kontolöschung nicht sofort gelöscht werden.
24. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Bei wesentlichen Änderungen werden wir Sie über die App informieren und gegebenenfalls erneut Ihre Einwilligung einholen (über das Consent-Versionierungs-System der App).
Stand: 30. März 2026. Version 1.0.
Privacy Policy — OutAndAbout App
Last updated: March 30, 2026 | Version: 1.0
Table of Contents
- Controller
- Overview of Data Processing
- General Information and Legal Obligations
- Hosting and Technical Infrastructure
- User Account and Registration
- Social Login
- Device Permissions
- Location Data and Map Services
- Analytics and Performance
- Crash Reporting
- Advertising
- In-App Purchases and Subscriptions
- Push Notifications
- Third-Party Services and Content
- Barcode Scanner and Product Recognition
- User-Generated Content and Social Features
- Image Caching and Network Communication
- Local Data Storage
- Data Transfers to Third Countries
- Data Retention
- Automated Decision-Making
- Your Rights as a Data Subject
- Use by Minors
- Data Export and Account Deletion
- Changes to This Privacy Policy
- Notice
1. Controller
Benjamin Würth 2W Digital (Sole Proprietorship) Augsburger Straße 751 70329 Stuttgart Germany
Email: hello@w-w-digital.com
Due to the size of our organisation (sole proprietorship), we are not required to appoint a Data Protection Officer (§ 38 BDSG). For data protection enquiries, please contact hello@w-w-digital.com.
2. Overview of Data Processing
We only process personal data to the extent necessary to provide a functional app and our content and services, or where you have given your consent.
| Data Processing | Legal Basis | Third Party |
|---|---|---|
| User account (email/password) | Art. 6(1)(b) GDPR — Contract | Google Ireland Ltd. (Firebase Auth) |
| Google Sign-In | Art. 6(1)(b) GDPR — Contract | Google Ireland Ltd. |
| Apple Sign-In | Art. 6(1)(b) GDPR — Contract | Apple Inc. |
| App database (Firestore) | Art. 6(1)(b) GDPR — Contract | Google Ireland Ltd. (europe-west3) |
| Media storage | Art. 6(1)(b) GDPR — Contract | Google Ireland Ltd. (Firebase Storage) |
| Analytics (Firebase Analytics) | Art. 6(1)(a) GDPR — Consent | Google Ireland Ltd. |
| Crash reports (Crashlytics) | Art. 6(1)(a) GDPR — Consent | Google Ireland Ltd. |
| Performance monitoring | Art. 6(1)(a) GDPR — Consent | Google Ireland Ltd. |
| Advertising (Google AdMob) | Art. 6(1)(a) GDPR — Consent | Google Ireland Ltd. |
| In-app purchases (RevenueCat) | Art. 6(1)(b) GDPR — Contract | RevenueCat, Inc. |
| Push notifications (FCM) | Art. 6(1)(b) GDPR — Contract | Google Ireland Ltd. |
| Location / Maps | Art. 6(1)(a) GDPR — Consent | Google Ireland Ltd. / OSM Foundation |
| Barcode lookup | Art. 6(1)(b) GDPR — Contract | Open Food Facts |
| Fonts (Google Fonts) | Art. 6(1)(f) GDPR — Legitimate interest | Google LLC |
| API protection (App Check) | Art. 6(1)(f) GDPR — Legitimate interest | Google Ireland Ltd. |
3. General Information and Legal Obligations
Your Rights
You have the following rights regarding your personal data:
- Right of access (Art. 15 GDPR) — You can request information about your stored personal data.
- Right to rectification (Art. 16 GDPR) — You can request correction of inaccurate data.
- Right to erasure (Art. 17 GDPR) — You can request deletion of your data, unless legal retention obligations apply.
- Right to restriction of processing (Art. 18 GDPR) — You can request restriction of processing of your data.
- Right to data portability (Art. 20 GDPR) — You can receive your data in a structured, machine-readable format. Our app provides a built-in export function (see Section 23).
- Right to object (Art. 21 GDPR) — You can object to processing based on Art. 6(1)(f) GDPR.
- Right to withdraw consent (Art. 7(3) GDPR) — You can withdraw consent at any time with effect for the future.
To exercise your rights, contact: hello@w-w-digital.com
Right to Lodge a Complaint
You have the right to lodge a complaint with a data protection supervisory authority. The authority responsible for us is:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20, 70173 Stuttgart https://www.lfdi.bwl.de
Withdrawal of Consent
Where processing is based on your consent (e.g., analytics, crashlytics, advertising), you can withdraw it at any time via the app settings under "Privacy". The lawfulness of processing carried out before withdrawal remains unaffected.
SSL/TLS Encryption
This app uses SSL/TLS encryption for all data transmission between the app and our servers.
Obligation to provide data (Art. 13(2)(e) GDPR): Providing an email address and display name is mandatory to use the App (required for contract conclusion). Without these details, no user account can be created. All other data provision is voluntary; if not provided, certain features (e.g. location-based features, personalised advertising) will not be available.
4. Hosting and Technical Infrastructure
Google Firebase / Google Cloud Platform
Our app uses Google Firebase as its backend infrastructure. Servers are located in the europe-west3 region (Frankfurt am Main, Germany).
Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
Data processed: All data stored in this app is processed on Firebase servers in Frankfurt. This includes server log files (IP address, access timestamp, request details).
Legal basis: Art. 6(1)(b) GDPR (contract performance) and Art. 6(1)(f) GDPR (legitimate interest in secure and efficient provision of the app).
Data processing agreement: A data processing agreement pursuant to Art. 28 GDPR exists with Google Ireland Ltd. (Google Cloud Data Processing Addendum).
Firebase App Check
To protect our backend resources from abuse, we use Firebase App Check, which verifies that requests originate from an authentic instance of our app.
Data processed: App attestation tokens, device tokens.
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in protection against API abuse).
5. User Account and Registration
Firebase Authentication
We use Firebase Authentication from Google Ireland Limited for registration and login.
Data processed: Depending on the login method: email address, password (stored as encrypted hash), display name, profile image URL, provider-specific ID.
Additional profile data stored in the app: Username, emoji avatar, profile image (if uploaded), experience points (XP), check-in statistics, streak data, premium status, creation date.
Legal basis: Art. 6(1)(b) GDPR (contract performance — registration is a prerequisite for using the app's features).
Retention period: Until account deletion by the user.
6. Social Login
Google Sign-In
You can sign in to the app using your Google account.
Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
Data transmitted: Display name, email address, profile image URL, Google user ID.
Legal basis: Art. 6(1)(b) GDPR (contract performance).
Third-country transfer: USA. Google is certified under the EU-US Data Privacy Framework.
Apple Sign-In
You can sign in to the app using your Apple ID (iOS).
Provider: Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Ireland (controller for EU users); affiliated entity: Apple Inc., Cupertino, CA 95014, USA.
Data transmitted: Email address (may be privatized via Apple's "Hide My Email" service), user ID token.
Legal basis: Art. 6(1)(b) GDPR (contract performance).
Third-country transfer: USA. Apple is certified under the EU-US Data Privacy Framework.
Data source (Art. 14 GDPR): When using Google Sign-In or Apple Sign-In, we receive your data directly from Google Ireland Limited or Apple Distribution International Limited respectively. The data categories are indicated above. The legal basis for this transfer is your consent given during the login dialogue with Google/Apple.
7. Device Permissions
The app requests the following device permissions, which you can revoke at any time in your device's system settings:
Camera
Purpose: Taking profile photos, scanning QR codes (friend requests), and scanning product barcodes (beverage identification).
Legal basis: Art. 6(1)(a) GDPR (consent through granting the device permission).
Photo Library
Purpose: Selecting a profile photo from your photo library.
Legal basis: Art. 6(1)(a) GDPR (consent).
Location
Purpose: Determining your current location for check-ins (finding nearby bars, restaurants, etc. and showing your approximate location to friends).
Legal basis: Art. 6(1)(a) GDPR (consent through granting the location permission).
Accuracy: The app uses GPS (fine location) for accuracy of approximately 20 meters.
Push Notifications
Purpose: Notifications about friend requests, messages, friends' check-ins, challenges, and other app activities.
Legal basis: Art. 6(1)(b) GDPR (contract performance) in conjunction with your granting of notification permission.
8. Location Data and Map Services
Google Maps
We use Google Maps to display check-in locations on a map.
Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
Data processed: GPS coordinates, IP address, device information.
Legal basis: Art. 6(1)(b) GDPR (contract performance — the map view is a core feature of the app).
Third-country transfer: USA. Google is certified under the EU-US Data Privacy Framework.
OpenStreetMap (Overpass API)
We use the Overpass API of the OpenStreetMap project to find nearby locations (bars, restaurants, cafés).
Provider: OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, United Kingdom.
Data processed: GPS coordinates (latitude/longitude), search radius (100 meters).
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in providing location-based features).
Third-country transfer: United Kingdom. An EU adequacy decision exists for the UK.
OpenStreetMap (Nominatim)
We use the Nominatim service to convert GPS coordinates into readable place names (reverse geocoding).
Provider: OpenStreetMap Foundation (as above).
Data processed: GPS coordinates, IP address (in server logs).
Legal basis: Art. 6(1)(f) GDPR (legitimate interest).
9. Analytics and Performance
Firebase Analytics
This app uses Firebase Analytics, an analytics service provided by Google Ireland Limited.
Firebase Analytics is only activated with your explicit consent. You can grant or deny consent when first using the app and change it at any time in the app settings.
Data processed: App usage behavior (events such as check-ins, friend requests, purchases), device ID (Instance ID), IP address (anonymized via IP masking), operating system and version, app version.
User properties: User ID (pseudonymized), premium status, level, language.
Legal basis: Art. 6(1)(a) GDPR (consent).
Third-country transfer: USA. Google is certified under the EU-US Data Privacy Framework.
Retention period: Data is stored for 14 months and then automatically deleted.
Withdrawal: You can disable Firebase Analytics data collection at any time in the app settings under "Privacy".
Firebase Performance Monitoring
We use Firebase Performance Monitoring to monitor app performance.
Data processed: App startup times, network latencies, screen render times, device data.
Legal basis: Art. 6(1)(a) GDPR (consent — linked to analytics consent).
Retention period: 90 days.
10. Crash Reporting
Firebase Crashlytics
We use Firebase Crashlytics from Google Ireland Limited to detect and fix app errors and crashes.
Crashlytics is only activated with your explicit consent. You can control this separately from analytics consent.
Data processed: Crash reports (stack traces), device information (model, manufacturer), operating system and version, app version, IP address (anonymized), timestamp of error.
Legal basis: Art. 6(1)(a) GDPR (consent).
Third-country transfer: USA. Google is certified under the EU-US Data Privacy Framework.
Retention period: 90 days.
Withdrawal: You can disable Crashlytics at any time in the app settings under "Privacy".
11. Advertising
Google AdMob
This app displays advertisements to users without a premium subscription via Google AdMob.
Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
Ad formats: Banner ads, interstitial ads (full screen), rewarded ads.
Data processed: Device ID, Advertising ID (IDFA on iOS / GAID on Android), IP address, approximate location, in-app usage behavior, age and gender (where available).
Legal basis: Art. 6(1)(a) GDPR (consent).
Third-country transfer: USA. Google is certified under the EU-US Data Privacy Framework.
Personalization: With your consent, personalized ads are served. Without consent, non-personalized ads are displayed.
Premium users: Users with an active OutAndAbout Pro subscription do not see any advertisements.
Opt-out:
- iOS: Settings → Privacy & Security → Tracking → Disable OutAndAbout
- Android: Settings → Google → Ads → Opt out of personalized advertising
App Tracking Transparency (iOS)
On iOS devices (iOS 14.5+), the Apple App Tracking Transparency dialog asks for your consent before your device can be tracked for personalized advertising across apps.
Data processed: IDFA (Identifier for Advertisers).
Legal basis: Art. 6(1)(a) GDPR (consent).
12. In-App Purchases and Subscriptions
RevenueCat
We use RevenueCat for managing in-app purchases and subscriptions.
Provider: RevenueCat, Inc., 633 Tarava St Suite 101, San Francisco, CA 94116, USA.
Data processed: App user ID (Firebase UID), purchase history, subscription status, product IDs, device ID, IP address.
Legal basis: Art. 6(1)(b) GDPR (contract performance).
Third-country transfer: USA. RevenueCat is certified under the EU-US Data Privacy Framework.
Retention period: For the duration of the contractual relationship and beyond in accordance with statutory retention obligations.
Payment processing: Actual payment processing is handled exclusively by the Apple App Store or Google Play Store. We do not receive any payment data (credit card numbers, etc.).
Available Subscriptions
- OutAndAbout Pro Monthly — Monthly subscription
- OutAndAbout Pro Yearly — Annual subscription
- OutAndAbout Pro Lifetime — One-time purchase
Prices are transparently displayed before purchase in the respective store. Subscription cancellation is managed through the subscription management of the respective store.
13. Push Notifications
Firebase Cloud Messaging (FCM)
We use Firebase Cloud Messaging for sending push notifications.
Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
Data processed: FCM token (a device-specific identifier), timestamp of last token update.
Types of notifications: Friend requests, new messages, friends' check-ins, reactions and comments, challenge invitations and updates, broadcasts, badge and level notifications, voucher notifications.
Legal basis: Art. 6(1)(b) GDPR for transactional notifications (friend requests, messages); Art. 6(1)(a) GDPR in conjunction with § 25 TTDSG for supplementary notifications (challenges, broadcasts, badges). The notification permission granted in the operating system constitutes consent; you may withdraw this at any time in your device settings.
Third-country transfer: USA. Google is certified under the EU-US Data Privacy Framework.
Retention period: FCM tokens are stored in your user profile and removed upon account deletion. Invalid tokens are automatically cleaned up.
Opt-out: You can disable push notifications at any time in your device's system settings.
14. Third-Party Services and Content
Google Fonts
This app bundles all required fonts locally (within the app bundle). No data is transferred to Google servers for fonts.
Legal basis: Not applicable — no data transfer.
Share Function
The app offers a share function that allows you to share content (links, statistics, GDPR data export) via your device's native share function.
Legal basis: Art. 6(1)(a) GDPR (consent — you actively initiate sharing and choose the target app yourself).
15. Barcode Scanner and Product Recognition
Open Food Facts API
To identify beverages via barcode scanning, we use the open database Open Food Facts.
Provider: Open Food Facts, 21 rue Alexandre Dumas, 75011 Paris, France.
Data processed: EAN/UPC barcode number of the scanned product, app user agent.
Note: No personal data (name, email, location, etc.) is transmitted to Open Food Facts. Only the barcode number is sent to retrieve product information (name, category).
Legal basis: Art. 6(1)(b) GDPR (contract performance).
Third-country transfer: None. Servers are located in the EU (France).
16. User-Generated Content and Social Features
The app allows you to create your own content and interact with other users:
Types of content: Check-in posts (beverage, location, optional photo, comment), comments and reactions, chat messages (individual and group) with optional media, profile picture and username, broadcasts, groups and events, challenges, vouchers.
Visibility: Your posts and profile are visible to your confirmed friends. Chat messages are only visible to the participants of the conversation.
Legal basis: Art. 6(1)(b) GDPR (contract performance).
Retention period: Content is stored until you delete it or delete your account.
17. Image Caching and Network Communication
Image Caching
To improve loading times, profile images and post images are cached locally on your device. Images are loaded from Firebase Storage and temporarily stored on your device.
Legal basis: Technically necessary / Art. 6(1)(f) GDPR (legitimate interest in fast loading times).
Network Communication
The app communicates with the servers mentioned in the respective sections via encrypted HTTPS connections. Your IP address is technically transmitted in the process.
QR Codes
The app generates QR codes containing your user ID to facilitate friend connections. QR code generation is performed entirely locally on your device — no data is transmitted to external services.
OpenStreetMap Maps (flutter_map)
In addition to Google Maps, the app also uses an OpenStreetMap-based map view for certain screens.
Provider: OpenStreetMap Foundation (see Section 8).
Data processed: IP address, requested map section (coordinates, zoom level).
Legal basis: Art. 6(1)(b) GDPR (contract performance).
18. Local Data Storage
The app stores certain data locally on your device using SharedPreferences (Android) or NSUserDefaults (iOS):
Stored data: Consent status (analytics, crashlytics, timestamp, version), display settings (theme, language), onboarding status.
Legal basis: Technically necessary storage on the end device pursuant to applicable law / Art. 6(1)(f) GDPR (legitimate interest).
Note: This data does not leave your device and is deleted when the app is uninstalled.
19. Data Transfers to Third Countries
Some of the services we use are based outside the European Economic Area (EEA). We only transfer personal data to third countries where an adequate level of data protection is ensured.
| Service | Provider | Location | Safeguard |
|---|---|---|---|
| Firebase (Auth, Firestore, Storage, Functions) | Google Ireland Ltd. | Servers: EU (Frankfurt) | DPA, Google Cloud DPA |
| Firebase Analytics | Google Ireland Ltd. | Processing: USA | EU-US Data Privacy Framework |
| Firebase Crashlytics | Google Ireland Ltd. | Processing: USA | EU-US Data Privacy Framework |
| Firebase Performance | Google Ireland Ltd. | Processing: USA | EU-US Data Privacy Framework |
| Firebase Cloud Messaging | Google Ireland Ltd. | Processing: USA | EU-US Data Privacy Framework |
| Google AdMob | Google Ireland Ltd. | Processing: USA | EU-US Data Privacy Framework |
| Google Maps | Google Ireland Ltd. | Processing: USA | EU-US Data Privacy Framework |
| Google Sign-In | Google Ireland Ltd. | Processing: USA | EU-US Data Privacy Framework |
| Google Fonts | Google LLC | USA | EU-US Data Privacy Framework |
| Apple Sign-In | Apple Inc. | USA | EU-US Data Privacy Framework |
| RevenueCat | RevenueCat, Inc. | USA | EU-US Data Privacy Framework |
| OpenStreetMap | OSM Foundation | UK | EU adequacy decision for UK |
| Open Food Facts | Open Food Facts | France (EU) | No third-country transfer |
Note on EU-US Data Privacy Framework (DPF): The aforementioned US providers are certified under the EU Commission's adequacy decision of July 10, 2023 for the EU-US Data Privacy Framework. Should the DPF lose its validity, we will rely on the EU Commission's Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR as a fallback mechanism.
20. Data Retention
| Data Type | Retention Period | Condition |
|---|---|---|
| User account and profile data | Until account deletion | User can delete at any time |
| Posts, comments, reactions | Until deletion by user or account deletion | — |
| Chat messages | Until deletion by user or account deletion | — |
| Profile images, post images, chat media | Until deletion by user or account deletion | — |
| Location data in posts | Until post deletion or account deletion | — |
| Location cache (local) | 5 minutes | Automatic |
| Firebase Analytics data | 14 months | Automatic deletion |
| Crashlytics reports | 90 days | Automatic deletion |
| Performance data | 90 days | Automatic deletion |
| FCM token | Until account deletion or token invalidation | Automatic cleanup |
| Purchase receipts / subscription data | Contract duration + 10 years | Statutory retention obligation |
| Consent settings (local) | Until app uninstallation | Automatic |
| Server logs | 30 days | Automatic deletion |
21. Automated Decision-Making
No automated decision-making including profiling within the meaning of Art. 22 GDPR takes place that produces legal effects concerning you or similarly significantly affects you.
Note: The app uses a gamification system (XP, levels, streaks, badges) based on your activities. These calculations serve entertainment purposes only and have no legal or economic effects.
22. Your Rights as a Data Subject
In addition to the rights mentioned in Section 3, we would like to draw your attention to the following options:
Objection to direct marketing (Art. 21(2) GDPR): Where we use your data for direct marketing, you can object at any time. After your objection, your data will no longer be used for direct marketing.
Right to data portability (Art. 20 GDPR): The app offers a built-in GDPR export function (see Section 23) that allows you to download all your data in a structured, machine-readable format (JSON).
22a. Use by Minors
Our app is intended exclusively for persons aged 16 and over (see Terms of Service § 1(4)). We do not knowingly collect personal data from children under the age of 16. If you become aware that we have collected data from a child under 16 without appropriate parental consent, please contact us at hello@w-w-digital.com; we will delete the data without undue delay (Art. 8(2) GDPR).
23. Data Export and Account Deletion
Data Export (Art. 15/20 GDPR)
The app provides a built-in function to export all your personal data. You can find this in the app settings under "Account" → "Export Data".
Exported data includes: Profile data, all posts, comments, friendships, groups, events, vouchers, conversations, messages, notification settings, broadcasts, challenges, quick replies, and references to your stored media.
Format: JSON file that can be saved or shared via your device's share function.
Account Deletion (Art. 17 GDPR)
You can permanently delete your account and all associated data at any time. Deletion includes:
- All Firestore data (profile, posts, messages, friendships, groups, etc.)
- All stored media (profile images, post images, chat media)
- The Firebase authentication account
Deletion is irreversible and is typically completed within 30 days of the request being processed in batches.
Note: Purchase receipts at RevenueCat and the app stores are subject to statutory retention obligations and cannot be immediately deleted after account deletion.
24. Changes to This Privacy Policy
We reserve the right to adapt this privacy policy to ensure it always complies with current legal requirements or to implement changes to our services. The new privacy policy will apply to your subsequent use.
For material changes, we will notify you through the app and, if necessary, request your consent again (via the app's consent versioning system).
Last updated: March 30, 2026. Version 1.0.