Datenschutzerklärung für die App

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die durch die App ausgelösten Verarbeitungen — soweit überhaupt personenbezogene Daten beim Anbieter anfallen — ist:

Name:

Daniel Reiser

Anschrift:

[Straße und Hausnummer]
[PLZ Ort]
Deutschland

E-Mail:

daniel@baerchenwohl.de

2. Grundprinzip: Bärchenwohl bleibt auf deinem Gerät

Bärchenwohl ist im Standardzustand eine reine On-Device-Anwendung. Alle Daten, die du in der App eingibst, werden ausschließlich lokal auf deinem Gerät gespeichert (technisch: lokale SwiftData-Datenbank im App-Sandbox-Verzeichnis). Es findet keine Übertragung an Server des Anbieters oder an Dritte statt — solange du nicht aktiv die optionale Sync-Funktion aktivierst (siehe Abschnitt 5).

Wer Sync nicht aktiviert, hat keine serverseitige Präsenz. Es existiert kein Konto, kein Benutzer-Datensatz und keine Verbindung zwischen App und Anbieter. Diese Eigenschaft ist strukturell — die App führt vor der Aktivierung schlicht keinen Netzwerk-Code aus, der mit unseren Servern spricht.

Es ist kein Analytics-, Crash-Reporting- oder Werbe-SDK in der App eingebunden — weder von Apple, Google, Meta, Mixpanel, Firebase, Sentry, Crashlytics noch von anderen Anbietern. Es findet kein Profiling im Sinne von Art. 22 DSGVO statt.

3. Welche Daten lokal verarbeitet werden

Auf deinem Gerät werden insbesondere gespeichert:

• Profildaten der Kinder (Name, Geburtsdatum, Geschlecht, Foto, Größe, Gewicht, ggf. Allergien/Vorerkrankungen — soweit eingegeben)
• Profildaten der Eltern und weiterer Betreuungspersonen (Name, Rolle, Farbe)
• Erfassungen: Temperaturmessungen, Medikamentengaben, Symptome, Wachstumsdaten
• Krankheitsverläufe (Episoden, Notizen, Fotos von Rezepten)
• Vorsorgeuntersuchungen und Impfungen (geplante und erfolgte Termine)
• Kontaktdaten der Kinderarztpraxis (soweit eingegeben)
• App-Einstellungen (ausgewähltes Land, Erinnerungseinstellungen, Plus-Entitlement)

Die Verarbeitung erfolgt zu folgenden Zwecken:

• Bereitstellung der App-Funktionen (Tracking, Erinnerungen, Auswertungen)
• Anzeige von Verläufen und Wachstumskurven
• Lokale Push-Benachrichtigungen über das iOS-Benachrichtigungssystem
• Erzeugung eines Arzt-Berichts als PDF auf dem Gerät (für die freiwillige Weitergabe an Kinderärzt:innen)

Rechtsgrundlage für die lokale Verarbeitung der allgemeinen Stammdaten ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Soweit du dabei Gesundheitsdaten deiner Kinder (Art. 9 Abs. 1 DSGVO — z. B. Temperatur, Medikamentengaben, Symptome, Impfstatus, Wachstumswerte) eingibst, beruht die Verarbeitung auf deiner ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Du erteilst diese Einwilligung im Onboarding durch ein hierfür vorgesehenes, von der Bestätigung des Medizinprodukt-Hinweises getrenntes Häkchen. Du kannst diese Einwilligung jederzeit unter „Mehr → Datenschutz → Einwilligungen" mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).

Die Bereitstellung der genannten Daten ist freiwillig (Art. 13 Abs. 2 lit. e DSGVO); ohne Eingabe der jeweiligen Daten stehen die zugehörigen Funktionen der App nicht zur Verfügung.

4. Standortdaten

Wenn du die Funktion „Kinderarzt in meiner Nähe" verwendest, fragt die App über das Standardsystem von iOS deinen aktuellen Standort ab. Dieser wird nicht gespeichert und nicht an den Anbieter übertragen, sondern ausschließlich lokal an Apples Karten-Dienst (MapKit) übergeben, um Praxen in der Umgebung anzuzeigen. Die Nutzung des Standorts kannst du jederzeit in den iOS-Einstellungen widerrufen.

5. Optionaler Geräte-Sync (nur nach ausdrücklicher Aktivierung)

5.1 Funktionsweise

Der optionale Sync synchronisiert die in der App erfassten Daten zwischen Geräten desselben Haushalts (z. B. dein iPhone und das deiner Partnerin / deines Partners). Dazu nutzt die App einen vom Anbieter betriebenen Relay-Server in der Europäischen Union (siehe Abschnitt 5.4).

Die Synchronisation ist Ende-zu-Ende verschlüsselt. Das bedeutet: Die übertragenen Daten werden auf deinem Gerät verschlüsselt, bevor sie unseren Server erreichen, und können ausschließlich auf den zum selben Haushalt gehörenden Geräten wieder entschlüsselt werden. Der Schlüssel K_H, mit dem deine Daten verschlüsselt sind, wird ausschließlich auf den Geräten deines Haushalts erzeugt und gespeichert; er verlässt diese Geräte zu keinem Zeitpunkt im Rahmen der bestimmungsgemäßen Nutzung der App. Wir können deine Inhaltsdaten daher in der bestimmungsgemäß betriebenen App nicht entschlüsseln.

Hinweis: Innerhalb deines Haushalts kann jedes Gerät, das du über die in der App vorgesehene Pairing-Funktion (6-stelliger Code + SAS-Verifikation) mit einem bereits zum Haushalt gehörenden Gerät verbunden hast, den vollständigen Klartext sehen. Die Ende-zu-Ende-Verschlüsselung schützt deine Daten gegenüber dem Anbieter und seinem Auftragsverarbeiter, nicht gegenüber Personen, denen du physischen oder logischen Zugang zu einem deiner gepairten Geräte einräumst.

5.2 Was der Server speichert

Auf dem Relay-Server liegen ausschließlich:

• Verschlüsselte Nachrichten (Chiffretext, erzeugt mit XChaCha20-Poly1305 unter dem ausschließlich auf den Geräten des Haushalts vorhandenen Schlüssel K_H)
• Pseudonyme Kennungen (opake Identifikatoren) für Haushalt und Geräte — zufällige UUIDs, die wir nicht aus E-Mail, Telefonnummer, Apple-Account, IDFA, IDFV oder anderen für uns sichtbaren Identifikatoren ableiten. Im Sinne von Art. 4 Nr. 5 DSGVO handelt es sich um pseudonyme und damit weiterhin personenbezogene Daten, weil eine Wiederzuordnung zu deinem Endgerät bzw. Haushalt grundsätzlich möglich ist. Die DSGVO-Pflichten gelten für diese Kennungen unverändert.
• Zeitstempel des Eingangs (für Replay-Schutz und Bereinigung)
• APNs-Device-Token je registriertem Gerät (siehe Abschnitt 5.3) — persistent gespeichert, solange Sync für das Gerät aktiv ist
• Pairing-Metadaten für maximal 15 Minuten (zum Verbinden eines neuen Geräts via 6-stelligem Code + SAS-Verifikation)

Auf dem Server liegen keine Klartextdaten, keine Namen, keine Geburtsdaten, keine Gesundheitsdaten, keine E-Mail-Adressen, keine Geräte-IDFAs, kein Apple-Account-Bezug, kein Konto-Datensatz.

5.3 Push-Benachrichtigungen für Sync

Damit ein zweites Gerät zeitnah über neue Änderungen informiert wird, sendet unser Relay-Server eine Push-Benachrichtigung über Apples APNs-Dienst (Apple Push Notification service). Diese Push enthält ausschließlich einen 16-Byte langen, kryptografisch zufälligen Marker (vergleichbar einem „Briefkasten-klingelt"-Signal). Sie enthält keinen Klartext, keinen Hinweis auf den Inhalt der Änderung und kein personenbezogenes Datum.

APNs wird von der Apple Inc. (USA) betrieben. Damit liegt eine Übermittlung in ein Drittland im Sinne von Art. 44 ff. DSGVO vor. Rechtsgrundlagen für diese Übermittlung sind:

• Art. 45 DSGVO (EU-US Data Privacy Framework, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023; derzeit beim EuGH unter Az. C-703/25 P anhängig)
• ergänzend Art. 46 Abs. 2 lit. c DSGVO (Standardvertragsklauseln im Rahmen des Apple Developer Program)
• sowie deine ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO beim Aktivieren des Sync

Wir weisen ausdrücklich darauf hin, dass in den USA kein dem EU-Recht entsprechendes Datenschutzniveau besteht und US-Behörden unter dem FISA-702-Regime auf Daten US-amerikanischer Anbieter zugreifen können. Die übermittelten Daten beschränken sich auf den APNs-Device-Token (eine pseudonyme Geräte-Adresse, die Apple ohnehin für den Betrieb des Push-Dienstes vorhält) sowie auf den oben beschriebenen inhaltslosen 16-Byte-Marker. Eine inhaltliche Re-Identifizierung ist uns gegenüber technisch ausgeschlossen.

5.4 Auftragsverarbeitung Hetzner

Der Relay-Server wird in unserem Auftrag im Rechenzentrum der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen (Standort des Servers: Falkenstein, Deutschland) betrieben. Es besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Hetzner verarbeitet ausschließlich verschlüsselte Daten in unserem Auftrag und hat keinen Zugriff auf Klartext.

Eine Kopie der AVV-Eckpunkte stellen wir auf Anfrage zur Verfügung.

5.5 Familien-Backup

Du kannst in der App ein Familien-Backup erzeugen — eine Datei, die deine lokal gespeicherten Daten in passphrase-verschlüsselter Form enthält. Diese Datei verbleibt vollständig in deiner Kontrolle (z. B. iCloud Drive, AirDrop, E-Mail an dich selbst). Der Anbieter erhält das Backup nicht und kann es nicht entschlüsseln. Bitte beachte: Geht die Passphrase verloren, ist das Backup unwiederherstellbar.

5.6 Rechtsgrundlage des Sync

Rechtsgrundlage für die Verarbeitung im Rahmen des Sync ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Du kannst die Einwilligung jederzeit in den App-Einstellungen unter „Mehr → Datenschutz → Geräte-Sync" widerrufen (Art. 7 Abs. 3 DSGVO). Mit dem Widerruf wird die Sync-Funktion sofort beendet; lokal gespeicherte Daten bleiben unverändert erhalten. Serverseitig vorhandener Chiffretext wird auf deinen Antrag hin gelöscht (siehe Abschnitt 13).

5.7 Verarbeitung besonderer Datenkategorien beim Sync

Gesundheitsdaten von Kindern fallen unter Art. 9 Abs. 1 DSGVO. Soweit du im Rahmen des Sync solche Daten verarbeiten lässt, erfolgt die Verarbeitung auf Grundlage deiner ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung wird beim Aktivieren des Sync im Anschluss an die Erklärung der Funktionsweise erteilt.

6. Empfänger

Eine darüberhinausgehende Übermittlung an Dritte findet nicht statt. Insbesondere werden Daten nicht zu Werbe-, Tracking- oder Analysezwecken weitergegeben oder verkauft. Es kommen keine Tracking-SDKs, kein Crash-Reporting eines Drittanbieters und keine Werbenetzwerke zum Einsatz.

7. Speicherdauer

• Lokale Daten: Werden gespeichert, solange du sie in der App behältst. Du kannst einzelne Einträge jederzeit löschen, alle Daten unter „Mehr → Daten → Alle Daten löschen" entfernen oder die App deinstallieren.
• Serverseitiger Chiffretext (nur bei aktivem Sync): Wird automatisch nach 30 Tagen ab Eingang gelöscht (Tombstone-Retention), spätestens jedoch, sobald alle Geräte deines Haushalts die Nachricht bestätigt haben. Pairing-Material wird nach 15 Minuten gelöscht. Haushalts-Datensatz auf dem Relay: Löschung auf Antrag des/der Nutzer:in, spätestens automatisch nach 90 Tagen Inaktivität. Bei vollständiger Deaktivierung des Sync löschen wir auf deinen Antrag hin auch vorhandenen Chiffretext sofort.
• APNs-Token: Wird gelöscht, sobald du Sync deaktivierst oder die App deinstallierst.
• Server-Logs: 14 Tage Rolling. Enthalten ausschließlich HTTP-Statuscodes, pseudonyme Kennungen und Zeitstempel — keine Klartextdaten, keine IP-Adressen mit Personenbezug.

8. Was Apple verarbeitet (nicht ich)

Die App läuft im Apple-Ökosystem. Apple verarbeitet im Rahmen der App-Nutzung eigenständig bestimmte Daten — unabhängig vom Anbieter und ohne dass der Anbieter darauf Zugriff hat. Hierzu gehören insbesondere:

• App-Store-Daten: Download, Installationen, Updates (siehe Apple-Datenschutzerklärung).
• Geräte-Diagnose: wenn du in den iOS-Einstellungen unter Datenschutz & Sicherheit → Analyse & Verbesserungen dem „Teilen mit App-Entwicklern" zugestimmt hast, übermittelt Apple aggregierte Absturz- und Nutzungsdaten in App Store Connect. Diese Daten sind nicht auf einzelne Nutzer:innen rückführbar.
• iCloud-Backup: wenn du iCloud-Backup deines Geräts aktiviert hast, sichert iOS auch die lokale App-Datenbank in deinem persönlichen iCloud-Backup. Diese Backups sind durch Apple Ende-zu-Ende verschlüsselt, sofern „Erweiterter Datenschutz" („Advanced Data Protection") in deinem iCloud-Account aktiv ist. Der Anbieter hat in keinem Fall Zugriff auf diese Backups.
• APNs (nur bei aktiviertem Sync): siehe Abschnitt 5.3 zur Drittlandsübermittlung.

Für diese Verarbeitungen ist Apple eigenständig Verantwortlicher. Maßgeblich ist die Apple-Datenschutzerklärung.

9. App-Berechtigungen auf dem Gerät

Die App fragt dich — sofern relevant — beim ersten Bedarf um folgende Geräte-Berechtigungen:

• Mitteilungen: für Erinnerungen an die nächste Medikamenten-Dosis, an U-/Impftermine und — bei aktiviertem Sync — für Sync-Trigger-Pushs (siehe Abschnitt 5.3).
• Standort: ausschließlich für die Funktion „Kinderarzt in meiner Nähe", siehe Abschnitt 4.
• Kamera / Fotos: optional, falls du ein Profilbild für ein Kindprofil hinzufügen oder ein Rezept fotografieren möchtest. Bilder bleiben lokal (bzw. werden bei aktivem Sync verschlüsselt übertragen).
• Face ID / Touch ID: optional, falls du die App durch biometrische Authentifizierung schützen möchtest. Die biometrischen Daten werden ausschließlich von iOS verarbeitet und verlassen die Secure Enclave deines Geräts nicht.
• Apple Watch: falls du die Watch-Begleit-App nutzt, werden Daten zwischen iPhone und Apple Watch über Apples WatchConnectivity-Framework übertragen; eine Übertragung an Dritte erfolgt nicht.

Alle Berechtigungen kannst du jederzeit in den iOS-Einstellungen unter Einstellungen → Bärchenwohl widerrufen.

10. In-App-Käufe und Abonnements

Kostenpflichtige Funktionen werden ausschließlich über den Apple App Store erworben. Es stehen folgende Produkte zur Verfügung:

• Bärchenwohl Plus — Jährlich (Auto-Renewable Subscription, mit 7-tägiger kostenloser Testphase für Neukund:innen)
• Bärchenwohl Plus — Einmalkauf (Non-Consumable, einmalige Zahlung)
• Krankheitsbericht (Consumable, einmaliger Kauf zum Entsperren eines einzelnen Arzt-Berichts ohne Plus-Abo)

Apple verarbeitet im Kaufprozess deine Apple-ID, deine Zahlungsdaten und gegebenenfalls Rechnungsanschrift. Der Anbieter erhält von Apple keine personenbezogenen Käuferdaten, sondern lediglich anonymisierte, aggregierte Verkaufsstatistiken in App Store Connect (z. B. Anzahl Käufe pro Land).

Zur technischen Validierung deines Kaufs übermittelt die App den von Apple ausgestellten Kaufnachweis („App Store receipt") an Apple-Server. Diese Validierung erfolgt direkt zwischen deinem Gerät und Apple, ohne Beteiligung des Anbieters. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

11. TestFlight-Beta

Wenn du an der Bärchenwohl-Beta über Apples TestFlight teilnimmst, verarbeitet Apple zusätzlich:

• deine E-Mail-Adresse zur Einladung in den Test;
• automatisch erhobene Absturz- und Nutzungsstatistiken sowie alle von dir aktiv übermittelten Feedback-Nachrichten und Screenshots.

Diese Daten werden dem Anbieter im TestFlight-Dashboard angezeigt. Du kannst die Teilnahme jederzeit durch Deinstallation der TestFlight-App bzw. Verlassen des Test-Programms beenden. Rechtsgrundlage ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die du mit der Annahme der TestFlight-Einladung erteilst.

12. Daten von Kindern

Die App ist als Werkzeug für Eltern und andere Sorgeberechtigte gedacht. Erfasst werden Daten über Kinder, nicht von Kindern selbst. Verantwortlich für die Eingabe und Pflege dieser Daten bist du als sorgeberechtigte Person.

Da im Standardzustand keine Übertragung an Server stattfindet, werden die eingegebenen Daten der Kinder nicht an Dritte weitergegeben. Bei aktivem Sync verlassen die Daten das Endgerät ausschließlich in Ende-zu-Ende verschlüsselter Form (siehe Abschnitt 5).

13. Deine Rechte

Du hast nach der DSGVO folgende Rechte:

• Auskunft (Art. 15) — siehe unten
• Berichtigung (Art. 16)
• Löschung (Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruchsrecht (Art. 21)
• Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit für Sync und Art. 9-Verarbeitung wirksam ab Deaktivierung
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77)

13.1 Auskunft (Art. 15 DSGVO)

Da alle Klartext-Daten ausschließlich lokal auf deinem Gerät gespeichert werden, kannst du dein Auskunftsrecht überwiegend selbst wahrnehmen, indem du die Daten in der App ansiehst oder über „Mehr → Daten → Familien-Backup" exportierst.

Auf Anfrage erteilen wir zusätzlich Auskunft über:

• ob und seit wann eine Haushalts-ID auf unserem Relay-Server existiert,
• die Anzahl der gespeicherten verschlüsselten Nachrichten,
• den Zeitstempel der letzten Synchronisation,
• die Liste der Geräte-IDs deines Haushalts.

Klartext der Nachrichten können wir technisch nicht offenlegen, da uns der Schlüssel K_H nicht vorliegt und nie vorlag (siehe Abschnitt 5.2). Diese technische Begrenzung der Auskunftsfähigkeit ist Folge der gewählten Ende-zu-Ende-Architektur und stellt eine bewusste Datenschutzentscheidung dar.

Für Anfragen genügt eine formlose E-Mail an daniel@baerchenwohl.de.

14. Sicherheit

Die Sicherheit der Verarbeitung richtet sich nach Art. 32 DSGVO. Kernpunkte:

• Datenverschlüsselung im lokalen Speicher (iOS-Standard, File Protection Class)
• Ende-zu-Ende-Verschlüsselung des Sync mit XChaCha20-Poly1305 + Curve25519-ECDH-Pairing + Argon2id-KDF für Backup-Passphrasen
• Schlüsselmaterial ausschließlich in der iOS-Keychain (optional iCloud Keychain-Synchronisation, ebenfalls E2E)
• Keine Klartextdaten auf unseren Servern, kein Klartext in Logs

Die technischen und organisatorischen Maßnahmen sind im internen Dokument TOM-Register beschrieben und werden auf Anfrage offengelegt.

15. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem der Anbieter seinen Sitz hat:

[Zuständige Landesdatenschutzbehörde, z. B. „Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Königstraße 10a, 70173 Stuttgart"]

16. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich die Funktionen der App oder die rechtlichen Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist über die App (Mehr → App-Info → Datenschutz) und unter dieser URL abrufbar. Wesentliche Änderungen werden den Nutzer:innen in der App hervorgehoben angezeigt.