ExBackGet the app

Legal

Datenschutzerklärung

Last updated: 27. April 2026

Diese Datenschutzerklärung erläutert, wie die Digital App Group GmbH („Digital App Group", „wir", „uns") personenbezogene Daten verarbeitet, wenn Sie den Dienst ExBack nutzen. ExBack ist die Marke, unter der wir unsere mobile Anwendung vermarkten; im Apple App Store und im Google Play Store erscheint die Anwendung zusätzlich unter dem Namen NoContact (Bundle-ID de.digitalappgroup.nocontact). Diese Erklärung gilt für die mobile App ExBack (iOS und Android), die Website unter exback.app sowie alle damit verbundenen Kommunikationen.

Was ExBack ist und was nicht. ExBack ist ein Unterhaltungs- und Self-Improvement-Angebot. Es bietet Gesprächs-Impulse, tägliche Challenges, journalartige Check-Ins sowie allgemeine Tipps, denen Sie folgen können, aber nicht müssen. Es ist kein Medizinprodukt, keine Psychotherapie und kein Ersatz für eine professionelle psychotherapeutische, medizinische, rechtliche oder paartherapeutische Beratung. Inhalte der App stellen keine klinische Diagnose oder verbindliche Beziehungsempfehlung dar; das Ergebnis Ihrer Bemühungen hängt allein von Ihren eigenen Entscheidungen und Umständen ab.

Wir haben uns bemüht, diese Erklärung verständlich zu formulieren. Wenn Sie nur einen Abschnitt lesen möchten, lesen Sie bitte die folgende Zusammenfassung.

Auf einen Blick

  • Wir sind eine deutsche Gesellschaft (Digital App Group GmbH) und handeln als Verantwortlicher im Sinne der DSGVO. Sie erreichen uns unter digitalappgroupde@gmail.com.
  • Wir erheben nur, was wir zum Betrieb des Dienstes benötigen: Ihre Kontodaten, Ihre Konversationen mit dem KI-Coach und die WhatsApp-Chat-Auszüge, die Sie freiwillig hochladen. Wir verkaufen Ihre personenbezogenen Daten nicht und nutzen Ihre privaten Inhalte nicht zum Training öffentlicher KI-Modelle.
  • Wenn Sie einen WhatsApp-Chat-Export hochladen, verlässt die Original-.txt- bzw. .zip-Datei nie Ihr Gerät. Die App parst die Datei lokal auf Ihrem Smartphone und sendet anschließend nur eine anonymisierte Zusammenfassung sowie einen begrenzten Auszug (ohne Klarnamen) an unsere Server.
  • Unser KI-Coach wird durch Google Gemini 3 Flash betrieben. Konversationen werden gemäß den API-Bedingungen von Google verarbeitet; eine Nutzung Ihrer Inhalte zum Training der allgemeinen Modelle findet nicht statt.
  • Sie können Ihr Konto und alle damit verknüpften Daten jederzeit direkt in der App löschen oder uns per E-Mail kontaktieren. Es stehen Ihnen außerdem die vollen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch nach DSGVO zu.

1. Wer wir sind

Verantwortlicher: Digital App Group GmbH
Anschrift: Ferdinand-Koch Str. 31, 26133 Oldenburg, Deutschland
Registergericht: Amtsgericht Oldenburg · HRB 219130
Umsatzsteuer-Identifikationsnummer (USt-IdNr.): DE358804170
Telefon: +49 441 3793132
Kontakt & Datenschutzanfragen: digitalappgroupde@gmail.com

Wir haben derzeit keinen Datenschutzbeauftragten (DSB) benannt. Sollte unsere Verarbeitung Umfang oder Art annehmen, die nach Art. 37 DSGVO oder § 38 BDSG die Benennung verpflichtend macht, bestellen wir einen DSB und aktualisieren diesen Abschnitt entsprechend.

2. Geltungsbereich und die Namen, die Ihnen begegnen

Mit „die App" meinen wir die mobile Anwendung, die Sie als ExBack oder NoContact kennen. Mit „die Website" meinen wir exback.app nebst Subdomains. Wenn ein Abschnitt nur für eine dieser Oberflächen gilt, weisen wir gesondert darauf hin.

3. Welche personenbezogenen Daten wir verarbeiten

Im Folgenden listen wir alle Kategorien personenbezogener Daten auf, die App und Website verarbeiten: was wir verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage, an welche Auftragsverarbeiter weitergegeben wird und wie lange wir die Daten speichern. Eine zusammenfassende Liste der Auftragsverarbeiter finden Sie in Abschnitt 10, zu Drittlandsübermittlungen siehe Abschnitt 11, zur Speicherdauer siehe Abschnitt 12.

3.1 Kontodaten

  • Was:Ihre E-Mail-Adresse (immer), ein optionaler Anzeigename sowie die OAuth-Kennung, die Apple oder Google bei Anmeldung über „Sign in with Apple" bzw. Google Sign-In an uns übermittelt. Bei der Anmeldung per E-Mail verwenden wir Einmal-Codes; Passwörter speichern wir nicht.
  • Zweck: Erstellen und Authentifizieren Ihres Kontos.
  • Rechtsgrundlage: Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO).
  • Empfänger: Supabase (Authentifizierung und Datenbank), RevenueCat (Subscriber-Attribute), Apple, Google.

3.2 Geräte- und technische Daten

  • Was: eine zufällig erzeugte Geräte-Kennung (UUID v4), die wir beim ersten Start anlegen, Ihre Gerätezeitzone und -spracheinstellung, die Plattform (iOS bzw. Android), die App-Version und Ihr Push-Token (FCM auf Android, APNs via Firebase auf iOS).
  • Zweck: Betrieb des Dienstes über Sitzungen hinweg, Auslieferung von Push-Nachrichten, Missbrauchsprävention und Anpassung an Ihre Zeitzone.
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Geräte-Kennung und Plattformdaten; Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Push-Nachrichten; berechtigtes Interesse an der Missbrauchsprävention (Art. 6 Abs. 1 lit. f DSGVO).
  • Empfänger: Supabase; Google (FCM) für Push-Tokens.

3.3 Onboarding- und Programmdaten

  • Was:Ihre Antworten im Onboarding (Ihre Situation, Ihr Ziel, womit Sie kämpfen, ein optionaler Vorname, eine errechnete „Chance Score"), Ihr aktueller Programmtag, Ihre Streak und absolvierte Tagesaufgaben.
  • Zweck: Anpassung des Programms an Ihre Situation und Verfolgung Ihres Fortschritts.
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Sollten Ihre Freitext-Antworten Informationen enthalten, die unter Art. 9 DSGVO fallen (z. B. Hinweise auf Ihre Gesundheit, sexuelle Orientierung oder religiöse Überzeugungen), stützen wir die Verarbeitung dieser Inhalte zusätzlich auf Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die Sie durch das aktive Eintippen erteilen. Geben Sie solche Informationen bitte nur ein, wenn Sie mit der Verarbeitung durch unseren Dienst einverstanden sind.
  • Empfänger: lokal im Speicher der App; mit Supabase synchronisiert. Diese Daten werden nicht an Google Gemini übermittelt, es sei denn, sie tauchen in einer Coach-Konversation auf, die Sie führen.

3.4 Konversationen mit dem KI-Coach

  • Was: die Nachrichten, die Sie an den KI-Coach senden, sowie dessen Antworten. Diese Nachrichten werden gespeichert, damit der Coach den Gesprächskontext zwischen Sitzungen aufrechterhalten kann.
  • Zweck:Bereitstellung der Kernfunktion „Coaching per KI".
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
  • Empfänger: Supabase (Speicherung); Google LLC zum Erzeugen der jeweiligen Antwort (siehe Abschnitt 5).

3.5 WhatsApp-Chat-Upload

Wegen der besonderen Sensibilität dieses Features beschreiben wir ihn ausführlich in Abschnitt 4.

3.6 Käufe und Credits

  • Was: die von Ihnen gekauften Credit-Pakete, Ihr aktueller Credit-Stand, Buchungseinträge bezahlter Coaching-Sitzungen sowie die E-Mail und der Anzeigename, die wir als Subscriber-Attribute an RevenueCat weitergeben.
  • Zweck: Verarbeitung von Käufen über App Store und Google Play, Validierung von Belegen, Wiederherstellen von Käufen auf neuen Geräten und Abrechnung kostenpflichtiger Coaching-Sitzungen.
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); zur Aufbewahrung von Buchungsdaten zusätzlich rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i.V.m. §§ 147 AO und 257 HGB).
  • Empfänger: RevenueCat, Apple (App Store) bzw. Google (Google Play). Wir sehen oder speichern keine Karten- oder Bankdaten.

3.7 Push-Nachrichten und Engagement

  • Was: die Information, ob und wann Sie eine Push-Nachricht angetippt haben, sowie um welche Nachricht es ging.
  • Zweck: Sie an die richtige Stelle in der App zu führen und die Nützlichkeit unserer Erinnerungen zu messen.
  • Rechtsgrundlage: Einwilligung für den Versand (Art. 6 Abs. 1 lit. a DSGVO); berechtigtes Interesse an der Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO).
  • Empfänger: Supabase.

3.8 Daten der Website

  • Was: auf exback.app erfassen wir und unser Hosting-Provider Standard-Server-Logs (Ihre gekürzte IP-Adresse, User-Agent des Browsers, Zeitstempel und aufgerufene Seite). Nur mit Ihrer Einwilligung laden wir das Meta-Pixel und übertragen Ereignisse an die Meta Conversions API zur Messung unserer Werbung. Ihr Einwilligungsstatus wird im lokalen Speicher Ihres Browsers unter dem Schlüssel exback_consent abgelegt.
  • Zweck: Betrieb und Sicherheit der Website, Messung unserer Werbeleistung.
  • Rechtsgrundlage: berechtigtes Interesse für Server-Logs (Art. 6 Abs. 1 lit. f DSGVO); Einwilligung für das Meta-Pixel und die Conversions API (Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit über den Cookie-Banner oder durch Löschen Ihres Browser-Speichers widerrufen.
  • Empfänger: Meta Platforms Ireland Limited (sowie Meta Platforms, Inc. für Teile, die in den USA gehostet werden).

4. WhatsApp-Chat-Upload (der wichtigste Abschnitt)

Über die App können Sie einen WhatsApp-Chat-Export hochladen, damit der KI-Coach die Dynamik zwischen Ihnen und der anderen Person besser einschätzt. Da Chat-Exporte zwangsläufig auch personenbezogene Daten der anderen Person (Ihrer „Ex" oder sonstigen Gegenseite) enthalten, die unserer Datenschutzerklärung nicht selbst zugestimmt hat, behandeln wir dieses Feature mit besonderer Sorgfalt.

4.1 Was auf Ihrem Gerät bleibt

Die .txt- bzw. .zip-Originaldatei, die Sie über den Datei-Picker auswählen, verlässt Ihr Gerät nicht. Das Parsen, Bereinigen und Berechnen der Statistiken finden ausschließlich lokal auf Ihrem Telefon statt — bevor überhaupt eine Netzwerkverbindung zu uns aufgebaut wird.

4.2 Was an unseren Server übermittelt wird

Für eine vollständige Analyse senden wir an unseren Server:

  • Aggregierte Statistiken: Gesamtzahl der Nachrichten, prozentualer Anteil je Seite, durchschnittliche Zeichen pro Nachricht, Median der Antwortzeit jeder Seite und das daraus resultierende Antwortzeit-Verhältnis.
  • Ein anonymisierter Auszug: maximal die letzten 150 Nachrichten, insgesamt höchstens 12 000 Zeichen, wobei jede Nachricht ausschließlich als „user" oder „other"gekennzeichnet wird — die tatsächlichen Klarnamen werden vor der Übertragung entfernt.
  • Den Vornamen oder Spitznamen, den Sie im Onboarding für sich gewählt haben, sowie den im Export hinterlegten Namen der anderen Person, damit die Auswertung Sie ansprechen kann. Sie können diese Namen in der App ändern oder entfernen.

Für eine Folgeanalyse können Sie bis zu drei Screenshots beifügen. Diese werden als Base64-codierte Bilddaten an unseren Server und von dort an Google Gemini zur Bildauswertung weitergegeben. Sie werden ausschließlich zur Erstellung des Folgevorschlags verarbeitet und nicht über die in Abschnitt 12 beschriebene Log-Aufbewahrungszeit hinaus gespeichert.

4.3 Daten der anderen Person

Sie müssen die andere Person vor dem Hochladen informieren. Ihre Nachrichten sind personenbezogene Daten, und sie hat sich nicht bei unserem Dienst angemeldet. Mit der Nutzung der WhatsApp-Upload-Funktion bestätigen Sie, dass Sie die andere Person bereits darüber informiert haben, dass Sie den Chat zur automatisierten Auswertung an uns übermitteln, und dass sie Gelegenheit zum Widerspruch hatte. Diese Pflicht ist Bestandteil der Bedingungen, unter denen wir Ihnen die Funktion anbieten; ohne diese Pflicht würde es die Funktion nicht geben.

Auf dieser Grundlage stützen wir die Verarbeitung der Daten der anderen Person auf unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO — konkret: Ihnen die selbst angeforderte Auswertung zu ermöglichen. Die Interessenabwägung führte zu folgendem Ergebnis:

  • Vorabinformation: die andere Person weiß vor dem Upload, dass der Chat geteilt wird; das beseitigt das Überraschungsmoment, das in einer Interessenabwägung sonst zulasten des Verantwortlichen gewichtet wird.
  • Datenminimierung: Klarnamen werden entfernt, nur ein begrenzter anonymisierter Auszug (höchstens 150 Nachrichten, insgesamt höchstens 12 000 Zeichen) wird übertragen, es wird kein Profil über die andere Person aufgebaut und keine Anreicherung mit externen Quellen vorgenommen.
  • Zweckbindung: die Daten werden ausschließlich zur Erstellung Ihrer Auswertung verwendet. Eine Nutzung zum Modelltraining, ein Verkauf oder eine Weitergabe an Werbenetzwerke findet nicht statt.
  • Widerspruchsmöglichkeit: meldet sich die andere Person bei uns unter digitalappgroupde@gmail.com und fordert die Löschung aller sie betreffenden Daten, kommen wir dem nach, soweit wir diese Daten identifizieren und isolieren können.

Das Weitergeben privater Kommunikationsinhalte kann zusätzlich rechtlich beschränkt sein — in Deutschland insbesondere durch §§ 201, 201a StGB; in den Vereinigten Staaten beispielsweise durch bundes- und einzelstaatliche Wiretap-Gesetze (etwa Cal. Penal Code § 632). Die oben verlangte Vorabinformation ersetzt keine weitergehende Einwilligung oder Hinweispflicht, die in Ihrem Land nötig sein kann. Sind Sie sich nicht sicher, ob das Hochladen in Ihrer Situation zulässig ist, laden Sie den Chat bitte nicht hoch.

4.4 Speicherort des Auswertungsergebnisses

Der Text der Auswertung (Mustername, Tipps, Antwortvorschlag usw.) wird im lokalen Speicher der App zwischengespeichert, indiziert nach dem Anzeigenamen der anderen Person. Sie können einzelne Auswertungen direkt in der App löschen oder durch Löschen Ihres Kontos sämtliche Auswertungen entfernen.

5. KI-Coach, Tagesaufgaben und Tipps

Das zentrale Unterhaltungs-Feature von ExBack ist eine schriftliche Konversation mit einem KI-Coach, ergänzt um tägliche Check-Ins, Self-Improvement-Challenges und allgemeine Tipps. Der Coach ist Software, kein Mensch; seine Antworten werden automatisch erzeugt und basieren auf Ihrer jeweiligen Nachricht und dem jüngsten Gesprächsverlauf.

Konversationen und die Auswertung Ihrer WhatsApp-Uploads werden durch Google Gemini erzeugt (derzeit aus der Modellfamilie Gemini 3 Flash), betrieben von Google LLC auf Grundlage unseres Google-API-Vertrags. Bei jeder Antwort senden wir Google den jüngsten Gesprächskontext sowie die von Ihnen herangezogenen Auswertungsergebnisse; Google liefert eine einzelne generierte Antwort zurück, die wir an Ihr Gerät weiterreichen. Wir können das eingesetzte Modell im Laufe der Zeit ohne gesonderte Mitteilung wechseln, sobald Google neue Versionen veröffentlicht; der Auftragsverarbeiter (Google LLC) und die rechtliche Grundlage der Zusammenarbeit ändern sich dadurch nicht.

Auf der API-Stufe, die wir nutzen, verwendet Google Ihre Inhalte nicht zur Verbesserung oder zum Training seiner allgemeinen Modelle. Eine Kopie jeder Anfrage und Antwort wird in den Logs von Google nur für den begrenzten Zeitraum vorgehalten, den Google in seinen Gemini-API-Bedingungen beschreibt, und anschließend gelöscht.

Nur zur Unterhaltung und Selbstreflexion.Der KI-Coach ist kein Therapeut, keine ausgebildete Beraterin und kein Medizinprodukt. Er kann weder Depressionen, Angststörungen, Suchterkrankungen oder Missbrauch erkennen oder behandeln noch rechtliche Beratung leisten. Befinden Sie sich in einer Krise, wenden Sie sich bitte an eine qualifizierte Fachperson oder den Notruf Ihres Landes. In Deutschland erreichen Sie die Telefonseelsorge rund um die Uhr kostenfrei unter 0800 111 0 111; in Österreich die Telefonseelsorge unter 142; in der Schweiz „Die Dargebotene Hand" unter 143.

6. Käufe und Credits

Sämtliche Käufe werden über das jeweilige In-App-Kauf-System von Apple oder Google abgewickelt. Wir setzen RevenueCat ein, um Belege zu validieren, Käufe auf neuen Geräten wiederherzustellen und Ihren Credit-Stand nachzuhalten. Wir geben Ihre E-Mail und Ihren Anzeigenamen als Subscriber-Attribute an RevenueCat weiter, um Sie bei Zahlungsproblemen unterstützen zu können.

Wir sehen, speichern und verarbeiten keine Karten- oder Bankdaten. Diese werden ausschließlich von Apple bzw. Google und deren Zahlungsdienstleistern verarbeitet.

7. Push-Nachrichten

Push-Nachrichten werden über Firebase Cloud Messaging (FCM) der Google LLC ausgeliefert. Wenn Sie dem Empfang von Push-Benachrichtigungen auf Betriebssystemebene zustimmen, vergibt Ihr Gerät einen Push-Token, den wir in unserer Datenbank speichern und für die Adressierung von Nachrichten an Sie verwenden. Sie können die Erlaubnis jederzeit in den Einstellungen Ihres Betriebssystems zurückziehen; in diesem Fall stellen wir den Versand ein und der gespeicherte Token wird inaktiv.

8. Marketing und Werbung

8.1 Website (exback.app)

Mit Ihrer Einwilligung setzen wir das Meta-Pixel in Ihrem Browser ein und übermitteln Ereignisse zusätzlich serverseitig über die Meta Conversions API, um die Leistung unserer Werbung auf Facebook und Instagram zu messen. Das Pixel meldet Seitenaufrufe und Standardereignisse an Meta; die Conversions API erlaubt uns zusätzlich, gehashte Ereignisse direkt von unserem Server zu senden. App-Inhalte oder Konto-Inhalte werden zu keinem Zeitpunkt an Meta übermittelt — nur Ereignisse von der öffentlichen Website.

Pixel und Conversions API sind über unseren Cookie-Banner gesperrt. Wir laden beides erst, wenn Sie auf „Akzeptieren" klicken. Ihre Entscheidung wird im lokalen Speicher Ihres Browsers unter exback_consent sowie als Laufzeit-Flag window.__exback_consent hinterlegt. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Browser-Speicher unserer Seite löschen oder die Steuerelemente im Footer nutzen.

8.2 Mobile App

Die mobile App enthält zum aktuellen Zeitpunkt weder Analytics-, Attributions- noch Werbe-SDKs: Firebase Analytics ist explizit deaktiviert, ein Meta-SDK ist nicht eingebettet und ein Drittanbieter-Tool zur Absturzberichterstattung wird nicht eingesetzt.

Zum Launch planen wir die Integration von AppStack als Mobile Measurement Partner (MMP), um neue Installationen den Marketingkampagnen zuzuordnen, durch die sie zustande kamen. AppStack erhält Install- und Event-Postbacks mit Ihrer gekürzten IP-Adresse, dem Gerätemodell, dem Betriebssystem, der Spracheinstellung und einer von AppStack vergebenen Geräte-Kennung.

  • Auf iOS erfolgt die Attribution primär über Apples SKAdNetwork. Ihre IDFA wird nur dann angefordert, wenn Sie dem Hinweis nach App Tracking Transparency (ATT) ausdrücklich zustimmen; bei Ablehnung wird keine IDFA übermittelt.
  • Auf Android wird Ihre Google-Werbe-ID nur mit Ihrer Einwilligung verarbeitet, im Einklang mit den Anforderungen der Google-Play- Datenschutzangaben.
  • Conversions an Meta werden serverseitig (Server-to-Server) über AppStack übermittelt. Wir betten das Meta App Events SDK nicht in die App selbst ein.

Wir aktualisieren diesen Abschnitt, bevor AppStack in einer öffentlichen Release-Version aktiviert wird. Solange dieser Abschnitt von „werden" statt „verarbeitet" spricht, ist das SDK in der von Ihnen installierten Version noch nicht aktiv.

9. Auftragsverarbeiter und Drittdienste

Wir setzen die folgenden Anbieter zum Betrieb des Dienstes ein. Jeder handelt auf unsere schriftliche Weisung und auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.

  • Supabase— Authentifizierung, Datenbank, Edge Functions, Realtime-Sync. Hostet unsere Anwendungsdaten.
  • Google LLC (Firebase Cloud Messaging)— Auslieferung von Push-Nachrichten.
  • Google LLC (Gemini API)— Erzeugung der Coach-Antworten und der Auswertung Ihrer Chat-Uploads, einschließlich der Bildauswertung von Folge-Screenshots.
  • RevenueCat, Inc.— Belegvalidierung, Abonnement-Status, Credit-Stand.
  • Apple Inc. und Google LLC — Distribution über App Store / Google Play, In-App-Käufe sowie Sign-In with Apple bzw. Google.
  • AppStack— mobile Attributionsmessung (geplant; siehe Abschnitt 8.2).
  • Meta Platforms Ireland Limited— Werbemessung auf der Website.
  • Pravatar (i.pravatar.cc) — temporäre Platzhalter-Avatare für Coach-Personas. Beim Laden eines Avatars wird Ihre IP-Adresse an dieses CDN übertragen. Wir beabsichtigen, diese Platzhalter durch selbst gehostete Bilder zu ersetzen, und werden den Eintrag in dieser Liste streichen, sobald das geschehen ist.
  • Google Fonts— Webfonts, die von der App referenziert und bei Bedarf nachgeladen werden.
  • Hosting-Provider für exback.app — die Website wird von einem in der EU ansässigen Hosting-Anbieter ausgeliefert, der in unserem Auftrag übliche Server-Zugriffslogs führt. Den konkreten Anbieter benennen wir hier, sobald unsere Deployment-Konfiguration final ist.

Wir aktualisieren diese Liste, sobald sich Auftragsverarbeiter ändern. Personenbezogene Daten verkaufen wir nicht, und keiner der oben genannten Anbieter ist berechtigt, Ihre personenbezogenen Daten für eigene Zwecke zu verwenden.

10. Übermittlungen in Drittländer

Einige der genannten Anbieter verarbeiten Daten außerhalb des Europäischen Wirtschaftsraums (EWR) — insbesondere Google LLC, RevenueCat, Apple und Meta. Soweit personenbezogene Daten in Drittländer übermittelt werden, stützen wir uns auf die Standardvertragsklauseln der Europäischen Kommission (Module 2 bzw. 3, je nach Konstellation), ergänzt durch geeignete technische und organisatorische Maßnahmen (Verschlüsselung im Transit und im Ruhezustand, Zugriffsbeschränkungen, Audit-Logging). Für die USA stützen wir uns zusätzlich auf das EU-U.S. Data Privacy Framework, soweit der jeweilige Empfänger zertifiziert ist. Eine Kopie der einschlägigen Übermittlungsgrundlagen erhalten Sie auf Anfrage unter digitalappgroupde@gmail.com.

11. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist, zuzüglich etwaiger gesetzlicher Aufbewahrungsfristen:

  • Kontoprofil, Onboarding-Antworten, Programmstatus: für die Dauer Ihres Kontos. Konten, in die seit mindestens 24 Monaten nicht mehr eingeloggt wurde, können wir löschen; sofern uns Ihre E-Mail-Adresse vorliegt, weisen wir Sie vorher in angemessener Frist darauf hin.
  • Chatverlauf mit dem KI-Coach: für die Dauer Ihres Kontos, sofern Sie einzelne Konversationen oder Ihr Konto nicht in der App löschen.
  • WhatsApp-Auswertungen: solange Sie sie in der App behalten. Serverseitig wird der anonymisierte statistische Payload nur so lange aufbewahrt, wie unsere allgemeinen Server-Logs (siehe unten).
  • Folge-Screenshots: werden zur einmaligen Verarbeitung an Google Gemini übermittelt und von uns über unsere allgemeine Server-Log-Frist hinaus nicht dauerhaft gespeichert.
  • Push-Tokens: bis das Token vom Betriebssystem rotiert wird, Sie Push deaktivieren oder sich abmelden.
  • Buchungs- und Steuerdaten: für die gesetzlich vorgeschriebene Aufbewahrungsfrist (derzeit 10 Jahre gemäß §§ 147 AO und 257 HGB).
  • Server-Zugriffslogs: bis zu 90 Tage zu Sicherheits- und Missbrauchspräventionszwecken, danach werden sie gelöscht.

12. Sicherheit

Wir schützen Ihre Daten durch branchenübliche Maßnahmen: TLS für den gesamten Datenverkehr zwischen Ihrem Gerät und unseren Servern, Verschlüsselung im Ruhezustand auf unseren Datenbanken, Row-Level-Security (sodass ein Konto nicht auf die Daten eines anderen zugreifen kann) sowie restriktive Zugriffsrechte für Mitarbeitende, die diese für Support und Betrieb benötigen. Wir speichern keine Passwörter, weil wir keine verwenden — die Authentifizierung erfolgt über Einmal-Codes per E-Mail oder OAuth über Apple bzw. Google. Sollten wir je von einer meldepflichtigen Verletzung des Schutzes personenbezogener Daten betroffen sein, melden wir diese binnen 72 Stunden gemäß Art. 33 DSGVO an die zuständige Aufsichtsbehörde und informieren betroffene Personen unverzüglich, soweit Art. 34 DSGVO dies verlangt.

13. Ihre Rechte

13.1 Personen mit Wohnsitz in der EU/EWR (DSGVO)

Sie haben das Recht auf: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21) sowie Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3). Zur Ausübung dieser Rechte wenden Sie sich an digitalappgroupde@gmail.com. Sie können Ihr Konto und alle damit verknüpften Daten jederzeit direkt in den Einstellungen der App löschen.

Sind Sie der Ansicht, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu — insbesondere bei der für unseren Sitz in Niedersachsen zuständigen Aufsichtsbehörde: Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover, lfd.niedersachsen.de — oder bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthalts bzw. Arbeitsplatzes.

13.2 Personen mit Wohnsitz im Vereinigten Königreich (UK GDPR)

Ihre Rechte nach dem UK GDPR entsprechen den oben genannten. Die zuständige Aufsichtsbehörde ist das Information Commissioner's Office (ICO), ico.org.uk.

13.3 Bewohnerinnen und Bewohner Kaliforniens (CCPA / CPRA)

Wenn Sie Ihren Wohnsitz in Kalifornien haben, stehen Ihnen zusätzlich folgende Rechte zu:

  • Auskunft: über die Kategorien und konkreten Stücke personenbezogener Informationen, die wir über Sie erhoben haben, deren Quellen, Zwecke und die Kategorien Dritter, an die wir sie weitergeben. Die Übersicht in Abschnitt 3 enthält diese Informationen.
  • Löschung Ihrer personenbezogenen Informationen, vorbehaltlich der gesetzlichen Ausnahmen nach CCPA § 1798.105(d).
  • Berichtigung unrichtiger personenbezogener Informationen.
  • Widerspruch gegen Verkauf oder „Sharing“. Wir verkaufen Ihre personenbezogenen Informationen nicht gegen Geld. Der Einsatz des Meta-Pixels und der Meta Conversions API auf unserer Website kann unter dem CPRA jedoch als „Sharing" für kontextübergreifende verhaltensbasierte Werbung gelten. Sie können dem widersprechen, indem Sie im Cookie-Banner unserer Website auf „Decline" klicken, später jederzeit den Browser-Speicher unserer Seite leeren oder uns unter digitalappgroupde@gmail.com schreiben. Wir arbeiten an der automatischen Auswertung des Browser-Signals „Global Privacy Control" (GPC); bis dieses Feature live ist, ist der Cookie-Banner die maßgebliche Opt-out-Möglichkeit.
  • Beschränkung der Nutzung sensibler personenbezogener Informationen.Inhalte hochgeladener WhatsApp-Auszüge können unter CCPA § 1798.140(ae) als sensible personenbezogene Informationen gelten, weil wir nicht der ursprüngliche Empfänger dieser Nachrichten sind. Wir verarbeiten solche Auszüge ausschließlich zur Erstellung der von Ihnen angeforderten Auswertung und niemals zur Profilbildung für Werbung oder zum Verkauf. Nachrichten an unseren KI-Coach sind hingegen direkt an unseren Dienst gerichtet, weshalb wir der vorgesehene Empfänger sind und diese Nachrichten in der Regel nicht unter die Unter-Kategorie „contents of communications" fallen.
  • Diskriminierungsverbot: Wir verweigern Ihnen den Dienst nicht und berechnen keine anderen Preise, weil Sie eines dieser Rechte ausüben.

Sie können einen autorisierten Vertreter mit der Wahrnehmung Ihrer Rechte beauftragen; wir verlangen vor einer Antwort einen zumutbaren Nachweis der Bevollmächtigung.

14. Kinder

ExBack ist ausschließlich für Erwachsene ab 18 Jahren bestimmt. Wir richten unsere Werbung nicht an Minderjährige, richten den Dienst nicht wissentlich an Personen unter 18 Jahren und erheben wissentlich keine personenbezogenen Daten von Personen unter 18 Jahren. Wenn Sie Kenntnis davon erlangen, dass eine minderjährige Person ein Konto angelegt hat, kontaktieren Sie uns bitte unter digitalappgroupde@gmail.com; wir löschen das Konto und alle damit verknüpften Daten unverzüglich.

15. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Erklärung, wenn sich unsere Verarbeitung ändert oder es das Recht erfordert. Das Datum oben auf der Seite zeigt die jeweils aktuelle Fassung. Wesentliche Änderungen kündigen wir vor Inkrafttreten zusätzlich in der App oder per E-Mail an.

16. Kontakt

Kontakt & Datenschutzanfragen: digitalappgroupde@gmail.com
Postanschrift: Digital App Group GmbH, Ferdinand-Koch Str. 31, 26133 Oldenburg, Deutschland

Eine englischsprachige Fassung dieser Erklärung finden Sie unter /privacy. Bei Widersprüchen zwischen den Sprachfassungen ist die englische Fassung maßgeblich.