Datenverarbeitungs-Inventur — OutAndAbout App
Stand: 30. März 2026 App: OutAndAbout (Flutter, iOS + Android) Verantwortlicher: Benjamin Würth, 2W Digital
Diese Inventur wurde durch automatisierten Code-Scan erstellt und dient als Grundlage für das Verarbeitungsverzeichnis gemäß Art. 30 DSGVO sowie für die Datenschutzerklärung. Hinweis: Diese Dokumentation wurde KI-gestützt erstellt und stellt keine Rechtsberatung dar.
Übersicht aller erkannten Verarbeitungen
| # | Verarbeitung | Datenarten | Zweck | Rechtsgrundlage | Empfänger | Drittland | Speicherdauer | Consent nötig? |
|---|---|---|---|---|---|---|---|---|
| 1 | Firebase Authentication | E-Mail, Name, Passwort-Hash, Profilbild-URL, Provider-ID, Auth-Token | Benutzerregistrierung und -anmeldung | Art. 6(1)(b) Vertrag | Google Ireland Ltd. | USA (DPF) | Bis Kontolöschung | Nein |
| 2 | Google Sign-In | E-Mail, Anzeigename, Profilbild-URL, Google-ID | Soziale Anmeldung | Art. 6(1)(b) Vertrag | Google Ireland Ltd. | USA (DPF) | Bis Kontolöschung | Nein |
| 3 | Apple Sign-In | E-Mail (ggf. privat-relay), User-ID-Token | Soziale Anmeldung (iOS) | Art. 6(1)(b) Vertrag | Apple Inc. | USA (DPF) | Bis Kontolöschung | Nein |
| 4 | Cloud Firestore | Nutzerprofil, Posts, Kommentare, Freundschaften, Gruppen, Events, Challenges, Vouchers, Nachrichten, Broadcasts, Quick Replies | App-Kernfunktionalität, soziales Netzwerk | Art. 6(1)(b) Vertrag | Google Ireland Ltd. (Region europe-west3) | EU (Frankfurt) | Bis Kontolöschung / Löschung der Inhalte | Nein |
| 5 | Firebase Storage | Profilbilder, Post-Bilder, Chat-Medien | Medien-Hosting für App-Inhalte | Art. 6(1)(b) Vertrag | Google Ireland Ltd. | EU (europe-west3) | Bis Löschung durch Nutzer | Nein |
| 6 | Firebase Analytics | App-Nutzungsdaten, Bildschirmaufrufe, Events, Geräte-ID, IP (anonymisiert), App-Version, OS | App-Verbesserung und Nutzungsanalyse | Art. 6(1)(a) Einwilligung / § 25 TTDSG | Google Ireland Ltd. | USA (DPF) | 14 Monate | Ja |
| 7 | Firebase Crashlytics | Absturzberichte (Stack Traces), Geräteinformationen, OS, App-Version, IP (anonymisiert) | Fehlererkennung und -behebung | Art. 6(1)(a) Einwilligung / § 25 TTDSG | Google Ireland Ltd. | USA (DPF) | 90 Tage | Ja |
| 8 | Firebase Performance Monitoring | App-Ladezeiten, Netzwerk-Performance, Gerätedaten | Performance-Optimierung | Art. 6(1)(a) Einwilligung | Google Ireland Ltd. | USA (DPF) | 90 Tage | Ja |
| 9 | Firebase Cloud Messaging (FCM) | FCM-Token (Geräte-ID), Notification-Inhalte | Push-Benachrichtigungen | Art. 6(1)(b) Vertrag / Art. 6(1)(f) berechtigtes Interesse | Google Ireland Ltd. | USA (DPF) | Bis Token-Aktualisierung / Kontolöschung | Nein (OS-Permission) |
| 10 | Firebase App Check | App-Attestierung, Geräte-Token | Schutz vor Missbrauch der Firebase-APIs | Art. 6(1)(f) berechtigtes Interesse | Google Ireland Ltd. | USA (DPF) | Kurzfristig (Token-basiert) | Nein |
| 11 | Cloud Functions (europe-west3) | User-IDs, FCM-Tokens, Post-Metadaten, Kaufbelege | Serverseitige Logik, Notifications, Kaufvalidierung | Art. 6(1)(b) Vertrag | Google Ireland Ltd. | EU (Frankfurt) | Je nach Funktion | Nein |
| 12 | Google Mobile Ads (AdMob) | Geräte-ID, IP-Adresse, Standort (opt.), Nutzungsverhalten, Advertising ID (IDFA/GAID) | Werbefinanzierung (nur Free-Nutzer) | Art. 6(1)(a) Einwilligung / § 25 TTDSG | Google Ireland Ltd. | USA (DPF) | Siehe Google Ads Richtlinie | Ja |
| 13 | App Tracking Transparency (iOS) | IDFA (Advertising Identifier) | Werbe-Tracking über Apps hinweg | Art. 6(1)(a) Einwilligung | Apple Inc. / Werbenetzwerke | USA (DPF) | Bis Widerruf | Ja (iOS ATT-Dialog) |
| 14 | RevenueCat | App-User-ID, Kaufhistorie, Abo-Status, Geräte-ID, IP-Adresse | In-App-Käufe und Abonnement-Verwaltung | Art. 6(1)(b) Vertrag | RevenueCat, Inc. (USA) | USA (DPF) | Dauer des Vertragsverhältnisses + gesetzl. Aufbewahrung | Nein |
| 15 | Google Maps SDK | GPS-Koordinaten, Kartendarstellung | Anzeige von Check-in-Standorten auf Karte | Art. 6(1)(b) Vertrag / Art. 6(1)(a) Einwilligung | Google Ireland Ltd. | USA (DPF) | Kurzfristig (Session) | Nein (aber Standort-Permission) |
| 16 | Geolocator (GPS) | GPS-Koordinaten (Längen-/Breitengrad), Genauigkeit | Standortbestimmung für Check-ins | Art. 6(1)(a) Einwilligung / Art. 6(1)(b) Vertrag | Lokal auf Gerät + Firestore | — | 5 Min. Cache lokal; dauerhaft in Posts | Ja (OS-Permission) |
| 17 | OpenStreetMap Overpass API | GPS-Koordinaten, Suchradius (100m) | Nahegelegene Locations finden (Bars, Restaurants) | Art. 6(1)(f) berechtigtes Interesse | OpenStreetMap Foundation (UK) | UK (Angemessenheitsbeschluss) | Kurzfristig (Anfrage) | Nein |
| 18 | OpenStreetMap Nominatim | GPS-Koordinaten | Reverse Geocoding (Adresse aus Koordinaten) | Art. 6(1)(f) berechtigtes Interesse | OpenStreetMap Foundation (UK) | UK (Angemessenheitsbeschluss) | Kurzfristig (Anfrage) | Nein |
| 19 | Open Food Facts API | EAN/UPC-Barcode | Produkterkennung (Getränke-Identifikation) | Art. 6(1)(b) Vertrag | Open Food Facts (Frankreich) | EU (Frankreich) | Kurzfristig (Anfrage) | Nein |
| 20 | Kamera-Zugriff | Kamerabilder (Profilbild, Post-Fotos) | Profilbild aufnehmen, QR-Code scannen, Barcode scannen | Art. 6(1)(a) Einwilligung / Art. 6(1)(b) Vertrag | Lokal + Firebase Storage | — | Bis Löschung | Ja (OS-Permission) |
| 21 | Fotogalerie-Zugriff | Ausgewählte Bilder | Profilbild aus Galerie auswählen | Art. 6(1)(a) Einwilligung | Lokal + Firebase Storage | — | Bis Löschung | Ja (OS-Permission) |
| 22 | SharedPreferences (Lokaler Storage) | Consent-Status, Theme, Sprache, Onboarding-Status | App-Einstellungen lokal speichern | Art. 6(1)(f) berechtigtes Interesse / § 25(2) TTDSG | Nur lokal auf Gerät | — | Bis App-Deinstallation | Nein (technisch erforderlich) |
| 23 | Google Fonts | Keine (Schriftarten lokal im App-Bundle) | Schriftarten-Darstellung | Entfällt — kein Datentransfer | Entfällt | Entfällt | Entfällt | Nein |
| 24 | Share-Funktion | Vom Nutzer gewählte Inhalte (Links, Statistiken) | Teilen von Inhalten über OS-Sharing | Art. 6(1)(a) Einwilligung | Vom Nutzer gewählte App | Je nach Ziel-App | — | Nein (nutzerinitiiert) |
Erkannte Geräteberechtigungen
| Berechtigung | Android | iOS | Zweck |
|---|---|---|---|
| Internet | INTERNET | Automatisch | Netzwerkzugriff für alle Online-Funktionen |
| Feinstandort | ACCESS_FINE_LOCATION | NSLocationWhenInUseUsageDescription | Check-in Standortbestimmung |
| Kamera | — (via Plugin) | NSCameraUsageDescription | Profilbild aufnehmen, QR-Code scannen, Barcode scannen sowie optionale Fotoaufnahme für Post-Beiträge im Feed (nur für Premium-Nutzer) |
| Fotogalerie | — (via Plugin) | NSPhotoLibraryUsageDescription | Profilbild aus Galerie auswählen sowie optionale Auswahl eines Fotos für Post-Beiträge im Feed (nur für Premium-Nutzer) |
| Push Notifications | POST_NOTIFICATIONS | Via FCM-Permission | Benachrichtigungen |
| Vibration | VIBRATE | — | Haptisches Feedback |
| Boot-Empfang | RECEIVE_BOOT_COMPLETED | — | Lokale Notifications nach Neustart |
| App Tracking | — | NSUserTrackingUsageDescription | IDFA für personalisierte Werbung |
Metadaten-Entfernung bei Foto-Uploads
Beim Upload von Fotos für Post-Beiträge werden alle in der Bilddatei enthaltenen Metadaten (EXIF-Daten) — einschließlich GPS-Koordinaten, Geräteinformationen, Aufnahmezeitpunkt und Kameramodell — automatisch vor der Übertragung an den Server entfernt. Die auf Firebase Storage (Google Ireland Ltd., EU-Region europe-west3) gespeicherte Datei enthält ausschließlich komprimierte Bildinformationen ohne personenbezogene Metadaten. Rechtsgrundlage: Art. 5 Abs. 1 lit. c DSGVO (Grundsatz der Datensparsamkeit).
AV-Vertrag-Checkliste
Folgende Auftragsverarbeitungsverträge (Art. 28 DSGVO) müssen abgeschlossen sein:
| Dienst | Anbieter | AV-Vertrag verfügbar | Status |
|---|---|---|---|
| Firebase (alle Dienste) | Google Ireland Ltd. | Google Cloud DPA | [ ] Prüfen/Abschließen |
| Google Mobile Ads (AdMob) | Google Ireland Ltd. | Google Ads DPA | [ ] Prüfen/Abschließen |
| RevenueCat | RevenueCat, Inc. | RevenueCat DPA | [ ] Prüfen/Abschließen |
| Google Maps | Google Ireland Ltd. | Über Google Cloud DPA abgedeckt | [ ] Prüfen |
| Google Fonts | Google LLC | Ggf. lokal hosten statt extern laden | [ ] Prüfen |
Hinweis: OpenStreetMap (Overpass, Nominatim) und Open Food Facts sind offene Community-Dienste. Ein AV-Vertrag ist hier nicht üblich, aber die Nutzung muss in der DSE transparent dargestellt werden.