Tusen Takk

DE EN NO

← Zurück

Datenschutzerklärung

Stand: Mai 2026

1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung („DSGVO") ist:

Constantin Hirt
Gasborn 23
52062 Aachen, Deutschland
E-Mail: support@tusentakk.app

2 Geltungsbereich

Diese Datenschutzerklärung gilt für die mobile Anwendung „Tusen Takk" (iOS, ggf. Android) sowie die Webseite tusentakk.app.

3 Welche Daten wir verarbeiten

3.1 Konto- und Profildaten

Bei der Registrierung und Nutzung verarbeiten wir folgende Daten:

• Name (Anzeigename in der App);
• E-Mail-Adresse;
• Passwort als bcrypt-Hash (Salt-Rounds: 10) — das Klartextpasswort wird zu keinem Zeitpunkt gespeichert;
• Registrierungszeitpunkt;
• PayPal.Me-Benutzername (sofern vom Nutzer im Profil hinterlegt);
• Stripe Customer-ID und Stripe Connect-Account-ID (soweit angelegt);
• Profilfoto / Avatar (sofern hochgeladen).

3.2 Transaktions- und Aktivitätsdaten

• Versendete und empfangene Geschenk-Token (Geschenkart, Betrag in Cent, Status, Zeitstempel);
• Anlasstexte und Notizen, die du beim Senden optional eingibst;
• Selfies und Captions, die zur Einlösung hochgeladen werden;
• Freigabe-/Ablehnungsentscheidungen und Zeitstempel;
• Chat-Beiträge (Kommentare, Reaktionen, Fotos) im Geschenk-Verlauf;
• Punkte-Ereignisse („Social Score"), Wochen-Challenges, Achievements, Freundschaftsbeziehungen;
• Bei nicht registrierten Empfängern: deren E-Mail-Adresse als Pending-Gift-Eintrag, bis zur Registrierung oder maximal 90 Tage.

3.3 Geräte- und technische Daten

• Authentifizierungs-Token (JWT, Gültigkeit 30 Tage, lokal auf dem Gerät gespeichert);
• Push-Notification-Token (Expo Push Service), sofern der Nutzer Push-Benachrichtigungen erlaubt;
• Server-Log-Daten (Zeitpunkt, IP-Adresse, User-Agent, aufgerufene Endpunkte) zur Sicherstellung der Funktionsfähigkeit und Abwehr von Angriffen.

4 Zwecke und Rechtsgrundlagen der Verarbeitung

Zweck	Rechtsgrundlage
Bereitstellung der App, Authentifizierung und Kontoverwaltung	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Abwicklung von Geschenk-Transaktionen einschließlich Einlösung und Auszahlung	Art. 6 Abs. 1 lit. b DSGVO
Anzeige von Selfies an den Sender zur Freigabe	Art. 6 Abs. 1 lit. b DSGVO; ggf. Art. 9 Abs. 2 lit. a DSGVO (Einwilligung), siehe Ziffer 6
Push-Benachrichtigungen	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und lit. b DSGVO
Punkte-, Stufen- und Leaderboard-Funktion	Art. 6 Abs. 1 lit. b DSGVO
Server-Logs zur IT-Sicherheit	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Erfüllung gesetzlicher Pflichten (z. B. Auskunfts-, Aufbewahrungspflichten)	Art. 6 Abs. 1 lit. c DSGVO

5 Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur an Empfänger weiter, wenn dies zur Erbringung des Dienstes erforderlich ist oder eine gesetzliche Verpflichtung besteht. Zum Einsatz kommen folgende Auftragsverarbeiter bzw. eigenverantwortliche Empfänger:

• PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg — Abwicklung der Auszahlungen via PayPal.Me. Übermittelt werden ausschließlich der PayPal.Me-Username sowie der Auszahlungsbetrag.
• Stripe Payments Europe, Ltd., Irland — alternative Auszahlung über Stripe Connect.
• Expo (650 Industries, Inc.), USA — Bereitstellung des Push-Notification-Service. Datentransfer in die USA auf Grundlage der EU-Standardvertragsklauseln.
• Replit, Inc., USA — Hosting und Betrieb der Backend-Server (Express) sowie der App-Infrastruktur. Datentransfer in die USA auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (EU-Standardvertragsklauseln bzw. EU-US Data Privacy Framework).
• Apple Inc. — Vertrieb der App über den App Store; übermittelt werden technische Telemetriedaten gemäß Apple-Richtlinien.

Eine Datenübermittlung in Drittländer außerhalb der EU/EWR erfolgt nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.

6 Selfies und besonders geschützte Daten

Selfies, die zur Einlösung eines Geschenk-Tokens hochgeladen werden, zeigen typischerweise Personen und sind als personenbezogene Daten geschützt. Soweit ein Selfie Gesichtsmerkmale enthält, die im Einzelfall als biometrische Daten i. S. d. Art. 9 DSGVO eingestuft werden können, holen wir vor dem Upload eine ausdrückliche Einwilligung ein (Häkchen mit Hinweis im Einlöse-Screen).

Selfies werden nicht zur automatisierten Gesichtserkennung verwendet. Sie werden ausschließlich für die Anzeige im jeweiligen Geschenk-Verlauf zwischen Sender und Empfänger gespeichert.

Der Nutzer kann seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem er ein einzelnes Selfie über die App löscht oder sein gesamtes Konto entfernt.

7 Speicherdauer

• Konto- und Profildaten: bis zur Löschung des Kontos.
• Transaktionsdaten: bis zur Löschung des Kontos, danach Anonymisierung; gesetzliche Aufbewahrungsfristen bleiben unberührt.
• Selfies und Chat-Inhalte: bis zur Löschung durch den Nutzer oder bis zur Kontolöschung, spätestens jedoch 30 Tage nach Kontolöschung.
• Pending-Gifts (E-Mails nicht registrierter Empfänger): automatische Löschung nach 90 Tagen ohne Claim.
• Server-Logs: max. 30 Tage.
• Push-Token: bis zum Widerruf der Push-Einwilligung oder Kontolöschung.

8 Ihre Rechte

Sie haben jederzeit das Recht auf:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO);
• Berichtigung unrichtiger Daten (Art. 16 DSGVO);
• Löschung (Art. 17 DSGVO);
• Einschränkung der Verarbeitung (Art. 18 DSGVO);
• Datenübertragbarkeit (Art. 20 DSGVO);
• Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO);
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO);
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an support@tusentakk.app sowie die in der App vorhandene Funktion „Konto löschen" (Profil → Einstellungen).

9 Sicherheit

• Datenübertragung ausschließlich verschlüsselt über HTTPS/TLS;
• Passwörter werden mit bcrypt gehasht und nicht im Klartext gespeichert;
• Authentifizierung über JWT-Token mit begrenzter Gültigkeitsdauer;
• Zugriff auf die Datenbank ist nur autorisierten Diensten und Personen möglich;
• Rate-Limiting auf sensiblen Endpunkten (Login, Signup, Coin-Send, Avatar-Upload);
• Regelmäßige Updates der eingesetzten Komponenten.

10 Automatisierte Entscheidungen und Profiling

Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die Freigabe eines Selfies erfolgt stets manuell durch den Sender. Punkte werden anhand fester Regeln vergeben und führen nicht zu rechtlichen oder vergleichbar erheblichen Wirkungen.

11 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Funktionen der App ändern oder die Rechtslage dies erfordert. Wesentliche Änderungen werden über die App oder per E-Mail mitgeteilt.

12 Kontakt zum Datenschutz

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte erreichen Sie uns unter:

Constantin Hirt — Datenschutz
Gasborn 23
52062 Aachen
E-Mail: support@tusentakk.app