1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO (Verordnung (EU) 2016/679) ist: Florian Mahrl, Traklgasse 9/1, 1190 Wien, Österreich. E-Mail: florian.mahrl@gmail.com
2. Erhebung personenbezogener Daten
Wir erheben personenbezogene Daten, die du uns freiwillig zur Verfügung stellst: Name, E-Mail-Adresse, Interessen, Familienmitglieder (Name, Alter, Interessen), Standortdaten (optional), Kalendereinträge, Aktivitätsbewertungen, Push-Notification-Tokens (Geräte-Identifikatoren für Benachrichtigungen) sowie Chat-Nachrichten (Familien-, Freunde- und Gruppen-Chats). Bei Gruppen-Chats werden Nachrichten mit allen Mitgliedsfamilien der Gruppe geteilt. Der Familienname und Nachrichtentext sind für alle Gruppenmitglieder sichtbar. Gruppen können bis zu 20 Familien umfassen. Chat-Nachrichten aus Familien-, Freunde- und Gruppen-Chats werden dauerhaft in unserer Firebase Cloud Firestore Datenbank (Google Cloud, Speicher-Standort siehe Abschnitt „Datenresidenz") gespeichert. Essensvorlieben und Rezeptdaten: Ernährungstyp, bevorzugte Küchen, Allergien, selbst angelegte Rezepte (Name, Zutaten, Dauer), KI-generierte Essenspläne. Diese Daten werden in Firebase Firestore (Speicher-Standort siehe Abschnitt „Datenresidenz") gespeichert und zur Erstellung personalisierter Wochenpläne an Google Gemini (USA, DPF-zertifiziert) übermittelt — in anonymisierter Form ohne Name oder E-Mail. Öffentlich geteilte Community-Aktivitäten (Titel, Beschreibung, Familienname, Bewertung) sind für alle Nutzer sichtbar. Bei Account-Löschung werden diese anonymisiert.
3. Rechtsgrundlage und Zweck der Verarbeitung
Die Verarbeitung erfolgt auf Grundlage von: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für KI-Vorschläge und Standortdaten; Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Kontoverwaltung, Abo-Abwicklung und Kernfunktionen; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Sicherheit und Missbrauchsschutz. Zwecke: Personalisierte Aktivitätsvorschläge, Kalender- und Wunschverwaltung, Freunde-Matching, Zahlungsabwicklung.
4. Datenweitergabe an Drittanbieter
Deine Daten werden nicht verkauft. Wir nutzen folgende Auftragsverarbeiter: (1) Google Firebase/Cloud (Speicher-Standort siehe Abschnitt „Datenresidenz") für Infrastruktur, Authentifizierung und Datenspeicherung; (2) Google Gemini API (Google LLC, USA) für KI-gestützte Vorschläge — dabei werden anonymisierte Kontextdaten (Interessen, Wetter, ungefährer Standort) an Server in den USA übermittelt. Google ist unter dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO). KEINE persönlichen Daten wie Name oder E-Mail werden übermittelt. Für einzelne Anfragen verwendet Gemini optional das Google-Search-Tool (sog. Grounding), um aktuelle Fakten (z.B. geltende Öffnungszeiten) einzuholen — dabei werden die gleichen anonymisierten Suchanfragen an Google Search gestellt; (3) Google Custom Search JSON API (Google LLC, USA) — für Echtzeit-Event-Suche (lokale Veranstaltungen am Wochenende). Es werden anonymisierte Suchqueries (Ort + Datum + Kategorie) übermittelt, keine Profildaten. Ergebnisse werden serverseitig 24h im Firebase-Cache (siehe Abschnitt „Datenresidenz") zwischengespeichert, um doppelte Anfragen zu vermeiden; (4) Zahlungsabwicklung — abhängig von der genutzten Plattform: in der iOS-App über Apple StoreKit (Apple, Inc., USA, DPF-zertifiziert); in der Web-App über Stripe, Inc. (USA, DPF-zertifiziert). Deine Zahlungsdaten werden ausschließlich von Apple bzw. Stripe verarbeitet und nie auf unseren Servern gespeichert; (5) Google Calendar API (optional) — bei Verknüpfung deines Google-Kalenders werden Termine synchronisiert. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Du kannst die Verbindung jederzeit in den Einstellungen trennen. Gerätübergreifender Kalender-Cache: Deine zuletzt synchronisierten Google-Calendar-Einträge werden zusätzlich in einem geräteübergreifenden Firestore-Cache (Pfad: users/{deine-uid}/gcalCache/events, Speicher-Standort siehe Abschnitt „Datenresidenz" Frankfurt) gespeichert, damit deine Termine auf Handy und Laptop sofort sichtbar sind — auch wenn der Token gerade abläuft. Zugriff: ausschließlich du selbst (Firestore Security Rules); (6) Google Places API — zur Suche und Anzeige von Aktivitätsorten. Es werden anonymisierte Suchanfragen an Google übermittelt; (7) Firebase Cloud Messaging (Google) — für Push-Benachrichtigungen. Du kannst diese jederzeit in deinen Browser-Einstellungen deaktivieren; (8) Open-Meteo API (open-source) — für Wetterdaten. Es werden nur Koordinaten ohne Personenbezug übermittelt; (9) Google Firebase Crashlytics (Google LLC, USA, DPF-zertifiziert) für Fehlererfassung und Stabilitätsüberwachung. Es werden technische Fehlerdaten (Fehlermeldungen, Geräteinformationen, anonymisierter Nutzungskontext) übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilitäts- und Fehleranalyse zur Sicherstellung eines funktionsfähigen Dienstes). Crashlytics ist Bestandteil der iOS-App und ist unter dem EU-US Data Privacy Framework zertifiziert; (10) Tour-Empfehlungen (Wandern & Radeln) — beim Aufruf der Touren-Sektion werden anonymisierte Standortdaten (Stadt + ungefähre Koordinaten + Tour-Typ „Wandern" oder „Radeln") an die Google Gemini API mit aktiviertem Google-Search-Grounding übermittelt. Gemini recherchiert dabei öffentlich verfügbare Tour-Empfehlungen von Plattformen wie Outdooractive, Komoot, Bergfex und regionalen Tourismus-Websites. Es werden KEINE personenbezogenen Daten (Name, E-Mail, Familienmitglieder) übermittelt. Die Tour-Empfehlungen werden serverseitig 7 Tage cachebasiert pro Region (siehe Abschnitt „Datenresidenz" Frankfurt), um wiederholte Anfragen zu vermeiden. Externe Links zu den Tour-Quellen werden im App-Detail angezeigt — die verlinkten Drittseiten unterliegen deren eigener Datenschutzerklärung; (11) Google reCAPTCHA v3 / Firebase App Check (Google LLC, USA, DPF-zertifiziert) — ausschließlich in der Web-App und erst nach dem Login, zum Schutz unserer KI-Backend-Endpunkte vor automatisiertem Missbrauch. reCAPTCHA wertet dazu technische Interaktions- und Gerätedaten aus; es werden keine Namen oder E-Mail-Adressen übermittelt. Auf öffentlichen Seiten ohne Login wird reCAPTCHA nicht geladen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchs- und Kostenschutz).
4a. Drittstaaten-Transfer (Art. 44 ff. DSGVO)
Daten werden an folgende Empfänger in Drittstaaten übermittelt: (1) Google Gemini API (Google LLC, USA) — Grundlage: Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (Art. 45 DSGVO). Google LLC ist unter dem DPF zertifiziert. (2) Apple StoreKit (Apple, Inc., USA) bzw. Stripe, Inc. (USA) für Zahlungsabwicklung — beide DPF-zertifiziert. (3) Google Firebase Crashlytics (Google LLC, USA, DPF-zertifiziert) für Fehlererfassung in der iOS-App. (4) Google reCAPTCHA v3 / Firebase App Check (Google LLC, USA, DPF-zertifiziert) für den Missbrauchsschutz der Web-App — wird ausschließlich nach dem Login geladen. Du kannst der Datenübermittlung an die Google Gemini API widersprechen, indem du die KI-Vorschläge in den Einstellungen deaktivierst.
4b. Datenresidenz (Speicherorte)
Stand 2026-05-28: Deine Konto-, Familien- und Planungsdaten werden in der EU gespeichert und verarbeitet. Firebase Cloud Firestore Datenbank in Google-Cloud-Multi-Region „eur3" (Frankfurt, Niederlande, Belgien). Datei-Uploads (Profilbilder, Familien-Fotos, Plan-Exports) im Google-Cloud-Storage „europe-west3" (Frankfurt). Cloud Functions (Backend-Logik) in „europe-west1" (Belgien). Authentifizierung (Firebase Auth) und Push-Benachrichtigungen (FCM) global verteilt mit EU-Failover. Deine in der App gespeicherten Inhalte (Konto, Familie, Wünsche, Pläne, Chats, Fotos) verlassen den EU-Raum im Regelbetrieb nicht. Bei einzelnen Drittanbieter-Diensten kann jedoch eine Übermittlung in die USA stattfinden: (1) Google Gemini API für KI-Vorschläge — ausschließlich anonymisiert (kein Name, keine E-Mail, kein Kalendertitel); (2) Apple StoreKit bzw. Stripe für die Abo-Abwicklung; (3) Google Firebase Crashlytics für die Absturz- und Stabilitätsdiagnose der iOS-App. Diese US-Übermittlungen sind abgesichert über das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission, Art. 45 DSGVO) bzw. ergänzend über EU-Standardvertragsklauseln (SCC, Art. 46 DSGVO). Eine darüber hinausgehende transatlantische Übertragung deiner Inhaltsdaten findet nicht statt. Du kannst jederzeit über die in Abschnitt 10 genannten Rechte (Auskunft, Löschung) sowie durch Deaktivieren der KI-Vorschläge widersprechen. Bei Fragen zur Datenresidenz: florian.mahrl@gmail.com.
5. Automatisierte Entscheidungsfindung / KI
Wir verwenden die Google Gemini API zur automatisierten Erstellung von Aktivitätsvorschlägen. Diese Vorschläge basieren auf deinen Interessen, Standort, Wetter und Aktivitätshistorie. Es handelt sich um unverbindliche Empfehlungen, nicht um Entscheidungen mit rechtlicher Wirkung (Art. 22 DSGVO). Du kannst die KI-Funktion jederzeit deaktivieren. Der Essensplaner nutzt dieselbe KI (Google Gemini) um Essenspläne basierend auf deinen Rezepten, Kalender-Verfügbarkeit und Essensvorlieben zu erstellen. Die Vorschläge sind unverbindlich. Für Chat-Nachrichten gelten unterschiedliche Speicherregeln: (a) Familien-, Freunde- und Gruppen-Chat: Nachrichten werden dauerhaft in unserer Firebase Cloud Firestore Datenbank (Google Cloud, Speicher-Standort siehe Abschnitt „Datenresidenz") gespeichert. Die Übertragung erfolgt TLS-verschlüsselt; die Daten werden im Ruhezustand mit AES-256 verschlüsselt. WICHTIG — Klartext-Speicherung: Diese Chats sind NICHT Ende-zu-Ende verschlüsselt. Administratoren von Weekend Pilot sowie Google-Infrastruktur-Mitarbeiter könnten technisch auf den Inhalt zugreifen. Wir tun das nicht außerhalb der in Abschnitt 6a beschriebenen Ausnahmen (Missbrauchsuntersuchung, gesetzliche Auskunftspflicht). Ende-zu-Ende-Verschlüsselung ist ausschließlich für 1:1-Direkt-Nachrichten als Opt-in verfügbar (Einstellungen → KI & Kalender). Nachrichten werden gelöscht, wenn das Konto gelöscht wird oder ein Nutzer die Familiengruppe verlässt. Du kannst eigene Nachrichten in Gruppen-Chats und 1:1-DMs jederzeit selbst löschen. (b) KI-Chat (Navi AI-Assistent): Nachrichten werden ausschließlich in der aktuellen Sitzung über die Google Gemini API verarbeitet und NICHT auf unseren Servern gespeichert. Sie gehen bei Verlassen der Seite verloren.
6. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein: TLS/SSL-Verschlüsselung für alle Datenübertragungen, Firebase Security Rules für Zugriffskontrolle, serverseitige API-Key-Verwaltung (keine Schlüssel im Client), Apple StoreKit / Stripe für PCI-DSS-konforme Zahlungsverarbeitung.
6a. Verschlüsselung im Detail (Transparenz)
Transport-Verschlüsselung: Alle Verbindungen Browser↔Server nutzen TLS 1.3 (HTTPS). HSTS ist aktiviert. Netzwerk-Angreifer können nichts mitlesen. Verschlüsselung im Ruhezustand: Firestore (unser Datenbankanbieter, Google) verschlüsselt alle Daten auf Platte mit AES-256. Firebase Storage (Fotos, Anhänge) ebenfalls. Auth-Tokens werden sicher gespeichert. Chats: Familien-Chats, Gruppen-Chats (Kindergarten, Schulklasse etc.) und 1:1-Direkt-Nachrichten werden im Klartext in Firestore gespeichert. Das bedeutet: Administratoren von Weekend Pilot sowie Google-Infrastruktur-Mitarbeiter könnten Nachrichten technisch einsehen. Wir tun das NICHT außerhalb folgender Ausnahmen: (a) Untersuchung von Missbrauchsmeldungen durch betroffene Nutzer, (b) gesetzliche Auskunftsverpflichtung (Gerichtsbeschluss, DSGVO-Betroffenenauskunft). Ende-zu-Ende-Verschlüsselung (E2EE): Derzeit in Aufbau für 1:1-Direkt-Nachrichten — das Feature wird opt-in und pro Gerät aktivierbar sein. Gruppen-Chats und Familien-Chats sind wegen der technischen Komplexität (Multi-Gerät, Schlüsselrotation, Gruppen-Key-Management) nicht kurzfristig für E2EE vorgesehen. Eigene Nachrichten löschen: In Gruppen-Chats und 1:1-Direkt-Nachrichten kannst du eigene Nachrichten jederzeit selbst löschen — die Löschung ist sofort und final (nicht nur ein Soft-Flag). KI-Kommunikation: An Google Gemini gesendete Daten werden anonymisiert (ohne Name/E-Mail). Kalenderdaten gehen NIEMALS mit Titel/Beschreibung/Ort an die KI — nur strukturierte Frei/Belegt-Zeitfenster (z.B. „belegt 10:00-12:00, frei 14:00-18:00") als Konflikt-Hinweis. Im Privat-Modus (Einstellungen → KI & Kalender) werden auch Wünsche und Standort weggelassen — nur Wetter + Stadt. Passwörter: Werden niemals von uns gespeichert — Firebase Auth (Google) hashed und salted sie serverseitig, wir haben keinen Zugriff auf Klartext-Passwörter.
6c. Google Calendar API — präzise Datennutzung (Stand 08.05.2026)
Wenn du in den Einstellungen „Google-Kalender verbinden" wählst, läuft der Zugriff über folgende Datenflüsse — vollständig dokumentiert für die Google-Verifizierung: Was wir LESEN: Termine deines Google-Kalenders der nächsten 90 Tage (Titel, Start-/Endzeit, Ort, Dauer). Wir lesen pro Termin nur diese Felder und ignorieren alles andere (z.B. Anhänge, Konferenz-Links, Antwort-Status). Geburtstage werden separat als Anlass-Hinweis im Dashboard genutzt. Zweck: Bestehende Fixpunkte erkennen, damit der Planner keine Vorschläge über sie legt. Was wir SCHREIBEN: Ausschließlich Plan-Slots, die du explizit per „In Kalender exportieren"-Button bestätigst. Jeder Slot wird ein eigener Termin (z.B. Fahrt, Ausflug, Mittagessen, Show, Heimfahrt). Wir schreiben niemals automatisch. Wir ändern oder löschen niemals bestehende Termine. Was wir NIEMALS tun: Keine Weitergabe deiner Kalenderdaten an Dritte; kein Verkauf; kein KI-Training mit deinen Terminen (Google Gemini erhält ausschließlich anonymisierte Wetter-/Stadt-/Interessen-Daten, keine Kalenderinhalte); keine Werbung auf Basis von Kalenderdaten; keine Analyse durch Mitarbeiter außerhalb der in Punkt 6a genannten Ausnahmen. Speicherort: Deine zuletzt gepullten Termine werden in deinem persönlichen Firestore-Doc unter `users/{deine-uid}/gcalCache/events` (Speicher-Standort siehe Abschnitt „Datenresidenz") gecached, damit der Planner offline und Geräte-übergreifend funktioniert. Zugriff: ausschließlich du selbst (per Firestore Security Rules erzwungen). Drittfamilien sehen davon NICHTS. Disconnect: Bei Klick auf „Verbindung trennen" in den Einstellungen löschen wir (a) den OAuth-Token bei Google via Revoke-Endpoint, (b) den lokalen Token aus deinem Browser, (c) den Pull-Cache im Browser, (d) den Firestore-Cache `users/{deine-uid}/gcalCache/events`. Nach Disconnect existieren KEINE Google-Calendar-Daten mehr in der App. OAuth-Scope: Wir fordern ausschließlich `https://www.googleapis.com/auth/calendar.events` an (kein Zugriff auf Kalender-Liste, keine Settings, keine ACL). Dieser Scope deckt Read+Write auf User-Events ab — wir verwenden Read für Free-Busy-Detection, Write nur für User-bestätigten Plan-Export. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst deine Einwilligung jederzeit durch Disconnect widerrufen.
6b. Familien-Isolation (Stand 28.04.2026)
Wer sieht was — technische Garantien durch Firebase Security Rules: Wall- und Visit-Fotos sind ausschließlich für Mitglieder deiner Familie sicht-, lade- und löschbar (Storage Rules prüfen Family-Membership via Firestore-Lookup). Kalender-Events sind ausschließlich für deine Family lesbar/änderbar — befreundete Familien sehen Events nur über aktiviertes calendarSharing (kein Schreibzugriff). Chats (Familie, Freunde, Gruppe) sind nur für die in `familyIds` aufgelisteten Familien lesbar und schreibbar — fremde Auth-User können nichts einsehen. User-Profile sind außerhalb der eigenen Familie nicht direkt lesbar — eine separate Cloud Function liefert nur Anzeigename und Avatar (keine E-Mail, keine privaten Felder) für Cross-Family-Anzeigen wie DM-Partnerlisten. Family-Dokumente sind nur für eigene Mitglieder + befreundete Familien lesbar — Invite-Code-Lookups laufen über eine geschützte Cloud Function. Featured Events (Landing-Inhalte) können ausschließlich vom Admin geschrieben werden. Diese Garantien sind auf Server-Ebene erzwungen, nicht nur in der UI — sie greifen auch bei direktem API-Zugriff.
7. Speicherdauer
Kontodaten werden für die Dauer der Nutzung gespeichert und auf Anfrage gelöscht. Daten werden gespeichert solange Ihr Konto aktiv ist. Chat-Nachrichten aus Familien-, Freunde- und Gruppen-Chats werden für die Dauer der Kontomitgliedschaft in der jeweiligen Gruppe gespeichert und bei Kontolöschung oder Verlassen der Gruppe entfernt. KI-Chat-Nachrichten werden nicht gespeichert und gehen bei Sitzungsende verloren. Zahlungsdaten werden von Apple bzw. Stripe gemäß gesetzlicher Aufbewahrungspflichten gespeichert. Nach Kontolöschung werden personenbezogene Daten zeitnah entfernt. Öffentlich geteilte Community-Beiträge werden anonymisiert (Name und Profilbild entfernt), damit bestehende Diskussionen nicht unverständlich werden. Chat-Nachrichten innerhalb der Familie werden gelöscht.
8. Cookies und Tracking
Wir verwenden technisch notwendige Cookies für die Anmeldung und Sitzungsverwaltung. Funktionale Cookies (z.B. Spracheinstellungen, Spracheinstellungen) und optionale Marketing-Cookies werden nur mit deiner Einwilligung gesetzt. Details und Einstellungen findest du in unseren Cookie-Einstellungen.
8a. Eigenwerbung und Produkthinweise
Weekend Pilot zeigt im kostenlosen Tarif Hinweise auf eigene Premium-Funktionen und Angebote (sogenannte "House Ads"). Dabei werden keine Nutzungsdaten an Dritte übermittelt. Es handelt sich ausschließlich um interne Produkthinweise. Eine Weitergabe personenbezogener Daten an Werbepartner findet nicht statt — externe Werbenetzwerke (Google AdSense, Ezoic) werden nicht eingesetzt.
9. Zahlungsdaten
Kreditkarten- und Bankdaten werden ausschließlich durch Apple StoreKit (iOS-App) bzw. Stripe (Web-App) verarbeitet und nie auf unseren Servern gespeichert. Wir erhalten von Apple/Stripe lediglich eine Kunden-/Abo-ID, den Abonnementstatus und das Ablaufdatum.
10. Deine Rechte nach DSGVO
Du hast das Recht auf: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Widerruf deiner Einwilligung (Art. 7 Abs. 3). Anfragen richtest du an florian.mahrl@gmail.com. Wir antworten binnen 30 Tagen.
11. Daten von Minderjährigen
Weekend Pilot richtet sich an Nutzer ab 16 Jahren (gem. DSGVO Art. 8). Kinder können als Familienmitglieder hinzugefügt werden — hierfür ist die Einwilligung eines Erziehungsberechtigten erforderlich. Gespeichert werden: Vorname, Altersgruppe sowie Geburtsdatum (wird ausschließlich zur Altersberechnung verwendet) und Interessen. An die KI (Google Gemini) werden nur anonymisierte Altersgruppen (z.B. Kleinkind, Schulkind, Teenager) übermittelt, niemals exakte Geburtsdaten oder Alter. Diese Daten werden nicht an Dritte weitergegeben und können jederzeit gelöscht werden.
12. Beschwerderecht
Du hast das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, dsb@dsb.gv.at, www.dsb.gv.at.
Stand: 8. Mai 2026