Datenschutzerklärung
1. Geltungsbereich und Überblick
Diese Datenschutzerklärung gilt für die Website pg-apps.de sowie für alle mobilen Anwendungen von PG Apps, derzeit InvestLearn und LegoHub (nachfolgend gemeinsam „Dienste“). Soweit einzelne Regelungen nur für bestimmte Apps gelten, ist dies ausdrücklich gekennzeichnet.
Die folgenden Hinweise informieren Sie darüber, welche personenbezogenen Daten wir erheben, wie wir sie verarbeiten und welche Rechte Ihnen zustehen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
2. Verantwortlicher
Verantwortlicher im Sinne der DSGVO:
Günter Schmitt
Königsberger Str. 41
78073 Bad Dürrheim
Deutschland
E-Mail: devapp.pg@gmail.com
3. Erhebung und Verarbeitung von Daten
3.1 In unseren Apps erhobene Daten
Bei der Nutzung unserer Apps können folgende Daten erhoben werden:
- Account-Daten: E-Mail-Adresse, Benutzername, Passwort (verschlüsselt als Hash-Wert). Bei der Registrierung wird eine Verifizierungs-E-Mail mit Bestätigungslink an Ihre E-Mail-Adresse versendet.
- Anmeldung über Drittanbieter (Apple Sign-In / Google Sign-In): Alternativ zur E-Mail-Registrierung können Sie sich über Apple oder Google anmelden. Dabei werden von dem jeweiligen Anbieter Ihr Name und Ihre E-Mail-Adresse an uns übermittelt. Bei Apple Sign-In können Sie die Option „E-Mail-Adresse verbergen“ nutzen — Apple generiert dann eine einzigartige Relay-Adresse (z. B. xyz@privaterelay.appleid.com), über die E-Mails an Ihre echte Adresse weitergeleitet werden, ohne dass wir diese kennen. Ein Passwort wird bei der Drittanbieter-Anmeldung nicht bei uns gespeichert; die Authentifizierung erfolgt über den jeweiligen Identitätsprovider.
- Nutzungsdaten: Levelstand, Fortschritt, Erfolge, App-Einstellungen, Gerätetyp.
- InvestLearn-spezifisch: Portfolio-Daten im Trading-Simulator (virtuelles Kapital, keine echten Finanztransaktionen), Lernfortschritt, Quiz-Ergebnisse, Abonnementstatus (Free/Premium).
- KI-Coach (nur InvestLearn): Alle Eingaben und Konversationen mit dem KI-Coach „Boersi“ (deutsch) Bei Premium-Nutzern zusätzlich simulierte Portfolio-Daten, die zur Analyse an den KI-Coach übermittelt werden.
- LegoHub-spezifisch: Sammlungsdaten, gescannte Sets, Wunschlisten.
- Abonnement-Daten (bei Premium-Nutzern): App-User-ID, Kaufbelege, Abonnementstatus, Transaktionshistorie, Gerätekennungen (IDFV/Android-ID). Die eigentliche Zahlungsabwicklung erfolgt über Apple/Google; wir haben keinen Zugriff auf Ihre Zahlungsmittel (z. B. Kreditkartendaten).
3.2 Auf dieser Website erhobene Daten
- Feedback-Portal: Eingegebene Feedback-Texte, Kategorien, App-Auswahl, optional Ihr Name.
- Kontaktformular: Name, E-Mail-Adresse, Nachricht sowie optional hochgeladene Dateianhänge (Bilder, PDF; max. 3 Dateien, je max. 1,5 MB). Anhänge werden ausschließlich per E-Mail übermittelt und nicht separat gespeichert. Der Versand erfolgt über Resend (Plus Five Five, Inc., USA) als E-Mail-Dienst. Es gelten die Resend-Datenschutzbestimmungen. Ein Auftragsverarbeitungsvertrag (DPA) ist Bestandteil der Resend-Nutzungsbedingungen. Transfermechanismus: Resend ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend gelten EU-Standardvertragsklauseln (SVK).
- Server-Log-Dateien: IP-Adresse, Browsertyp, Zugriffszeit (automatisch durch den Hosting-Provider Vercel).
3.3 Feedback-System und Vote-Deduplizierung
Zur Vermeidung von Mehrfach-Abstimmungen im Feedback-Portal erstellen wir einen anonymisierten Geräte-Hash. Dabei werden technische Geräteinformationen (Bildschirmauflösung, Farbtiefe, Zeitzone, Sprache, Plattform, Hardware-Parallelität sowie Canvas- und WebGL-Renderer-Informationen) ausgelesen und lokal im Browser zu einem kryptographischen Hash-Wert (SHA-256) zusammengeführt. Dieser Hash wird serverseitig mit Ihrer IP-Adresse kombiniert und erneut gehasht, sodass kein Rückschluss auf einzelne Geräteinformationen möglich ist.
- Zweck: Spam-Schutz und Sicherstellung fairer Abstimmungen (eine Stimme pro Gerät).
- Verarbeitete Daten: Gehashter Geräte-Fingerprint (nicht rückrechenbar auf Einzeldaten).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Integrität des Feedback-Systems).
- Speicherdauer: Der Hash wird in Firebase Firestore gespeichert und nach maximal 12 Monaten gelöscht.
4. Zwecke und Rechtsgrundlagen der Datenverarbeitung
| Verarbeitungstätigkeit | Rechtsgrundlage | Erläuterung |
|---|---|---|
| Kontoerstellung (E-Mail, Benutzername, Passwort) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Erforderlich zur Bereitstellung des Dienstes |
| Anmeldung über Apple/Google (Name, E-Mail) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Erforderlich zur Bereitstellung des Dienstes; alternative Anmeldemethode |
| E-Mail-Verifizierung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) | Diensterbringung und Betrugsprävention |
| Speicherung von Lernfortschritt und Einstellungen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Kernfunktion der App |
| Simuliertes Trading / Portfolio-Daten | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Kernfunktion der App |
| KI-Coach (Übermittlung an Anthropic) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | KI-Chatbot ist die vertraglich geschuldete Leistung |
| Abonnement-Verwaltung (RevenueCat) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Erforderlich zur Abo-Verwaltung und Zahlungsabwicklung |
| Feedback und Support-Anfragen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) | Bearbeitung Ihrer Anfragen und Verbesserung unserer Dienste |
| Vercel Analytics / Speed Insights | Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) | Anonyme Analyse der Website-Nutzung und Performance |
| Vote-Deduplizierung (Geräte-Hash) | Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) | Spam-Schutz und Integrität des Feedback-Systems |
| Server-Log-Dateien | Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) | Technischer Betrieb und Sicherheit |
Unser berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO liegt in der Sicherstellung eines störungsfreien Betriebs, der Verbesserung unseres Angebots und der Betrugsprävention.
5. Drittanbieter und Datenübermittlung
5.1 Firebase / Google Cloud
Wir nutzen Firebase (Google Ireland Ltd. / Google LLC, USA) für Authentifizierung und Datenspeicherung in unseren Apps und auf dieser Website.
- Verarbeitete Daten: E-Mail-Adresse, Passwort-Hash, Account-Erstellungsdatum, letzte Anmeldezeit, Nutzungsdaten, Lernfortschritt, Portfolio-Daten (simuliert).
- Speicherort: USA (Firebase Authentication speichert Daten standardmäßig in den USA).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an sicherer Infrastruktur).
- Datentransfer USA: Google ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend gelten die EU-Standardvertragsklauseln (SVK) als zusätzliche Garantie. Der Auftragsverarbeitungsvertrag (AVV) ist automatisch in die Firebase-Nutzungsbedingungen integriert (Firebase Data Processing and Security Terms).
- Weitere Informationen: https://firebase.google.com/support/privacy
5.2 Anthropic / Claude (KI-Coach — nur InvestLearn)
In unserer App InvestLearn nutzen wir Claude (Anthropic PBC, USA) als KI-Assistenten für den Finanz-Coach „Boersi“.
- Verarbeitete Daten: Chat-Nachrichten und Eingaben an den KI-Coach. Bei Premium-Nutzern zusätzlich simulierte Portfolio-Daten, Transaktionshistorie und Dividendendaten aus dem Trading-Simulator.
- Speicherdauer bei Anthropic: Anthropic speichert API-Eingaben und -Ausgaben für maximal 30 Tage, danach werden sie automatisch gelöscht. Ausnahmen gelten bei Verstößen gegen Anthropics Nutzungsrichtlinien oder gesetzlichen Aufbewahrungspflichten.
- Kein Modelltraining: Anthropic verwendet Daten aus der kommerziellen API nicht zum Training seiner KI-Modelle. Dies ist vertraglich in den Commercial Terms of Service festgelegt.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — der KI-Coach ist die vertraglich geschuldete Leistung, die Sie durch Kontoerstellung und Nutzung anfordern.
- Datentransfer USA: EU-Standardvertragsklauseln (SVK, Modul 2 — Verantwortlicher an Auftragsverarbeiter). Der AVV ist automatisch in Anthropics Commercial Terms of Service integriert.
- Weitere Informationen: https://privacy.anthropic.com
5.3 RevenueCat (In-App-Käufe und Abonnements)
Für die Verwaltung von In-App-Käufen und Abonnements nutzen wir RevenueCat Inc. (USA).
- Verarbeitete Daten: Anonyme App-User-ID, Kaufbelege (Receipts), Abonnementstatus und -typ, Transaktionshistorie. Gerätekennungen (IDFV/Android-ID) werden nur erhoben, sofern dies in der App-Konfiguration aktiviert ist.
- Speicherort: USA (AWS-Server).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
- Datentransfer USA: EU-Standardvertragsklauseln (SVK). Der AVV ist im RevenueCat-Dashboard unter Settings → Legal verfügbar und muss aktiv akzeptiert werden.
- Weitere Informationen: https://www.revenuecat.com/privacy
5.4 Vercel (Website-Hosting und Analyse)
Diese Website wird bei Vercel Inc. (USA) gehostet.
Vercel Analytics und Speed Insights: Diese Dienste arbeiten cookieless — es werden keine Cookies auf Ihrem Gerät gespeichert und kein Zugriff auf Ihr Endgerät vorgenommen. Es werden ausschließlich anonymisierte, aggregierte Daten erhoben (z. B. Seitenaufrufe, Ladezeiten, Gerätetyp). Besucher werden über einen serverseitigen Request-Hash identifiziert, der nach 24 Stunden verworfen wird. Ein Rückschluss auf einzelne Personen ist nicht möglich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Verbesserung unseres Webangebots).
Widerspruchsrecht: Sie können der Analyse Ihrer Website-Nutzung jederzeit widersprechen, indem Sie uns unter devapp.pg@gmail.com kontaktieren.
Datentransfer USA: Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend gelten EU-Standardvertragsklauseln.
Weitere Informationen: https://vercel.com/legal/privacy-policy
5.5 Apple App Store / Google Play Store
Die Zahlungsabwicklung für In-App-Käufe und Abonnements erfolgt direkt über Apple Inc. bzw. Google LLC als jeweils eigenverantwortliche Stellen (unabhängige Verantwortliche im Sinne der DSGVO, kein Auftragsverarbeitungsverhältnis). Wir haben keinen Zugriff auf Ihre Zahlungsmittel (z. B. Kreditkarten- oder Kontodaten).
Datentransfer USA: Apple stützt den internationalen Datentransfer auf EU-Standardvertragsklauseln (SVK). Google LLC ist zusätzlich unter dem EU-US Data Privacy Framework (DPF) zertifiziert und setzt ergänzend SVK ein.
Es gelten die jeweiligen Datenschutzerklärungen von Apple und Google.
6. Cookies und Tracking
6.1 Website
Unsere Website verwendet keine Tracking-Cookies und keine Werbe-Cookies. Es werden ausschließlich technisch notwendige Cookies eingesetzt (z. B. Session-Cookies für Firebase-Authentifizierung). Diese sind gemäß § 25 Abs. 2 TDDDG ohne Einwilligung zulässig, da sie für die Erbringung des Dienstes unbedingt erforderlich sind.
Vercel Analytics und Speed Insights arbeiten vollständig cookieless (siehe Abschnitt 5.4).
6.2 Apps
Unsere Apps verwenden keine Cookies. Authentifizierungsdaten werden über Firebase-Tokens verwaltet, die für die Funktionsfähigkeit der App technisch erforderlich sind.
7. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Account-Daten (E-Mail, Benutzername) | Für die Dauer des Kontos; nach Kontolöschung unverzügliche Entfernung aus Live-Systemen; vollständige Löschung aus Backup-Systemen innerhalb von 90 Tagen |
| IP-Adressen (Firebase Authentication) | Einige Wochen |
| Nutzungsdaten (Fortschritt, Portfolio, Einstellungen) | Für die Dauer des Kontos; nach Kontolöschung unverzügliche Entfernung aus Live-Systemen; vollständige Löschung aus Backup-Systemen innerhalb von 90 Tagen |
| KI-Coach-Konversationen (bei Anthropic) | Maximal 30 Tage bei Anthropic; nach Kontolöschung bei uns innerhalb von 30 Tagen |
| Abonnement- und Transaktionsdaten (RevenueCat) | Für die Dauer des Kontos; nach Löschung sofort bei RevenueCat entfernt; RevenueCat speichert Daten bis zu 6 Jahre nach Vertragsende |
| Abonnement- und Kaufdaten | Für die Dauer des Kontos; kaufmännisch relevante Daten bis zu 8 Jahre gem. §§ 147 AO, 257 HGB |
| Kontaktformular-Daten | Nach Abschluss der Bearbeitung, spätestens nach 6 Monaten |
| Feedback-Portal-Daten | Für die Dauer der Produktverbesserung, maximal 12 Monate |
| Geräte-Hash (Vote-Deduplizierung) | Maximal 12 Monate |
| Vercel Analytics-Daten | Anonymisiert; kein Personenbezug, keine Löschung erforderlich |
| Server-Log-Dateien | Maximal 30 Tage |
Sofern gesetzliche Aufbewahrungspflichten bestehen (insbesondere §§ 147 AO, 257 HGB), werden die betroffenen Daten für den gesetzlich vorgeschriebenen Zeitraum aufbewahrt und anschließend gelöscht.
8. Erforderlichkeit der Datenbereitstellung
Die Bereitstellung Ihrer E-Mail-Adresse und eines Benutzernamens ist für die Kontoerstellung und Nutzung des KI-Coaches erforderlich. Ohne diese Angaben kann der Dienst nicht erbracht werden.
Die grundlegenden Lernfunktionen der Apps (z. B. Lektionen lesen) können teilweise auch ohne Kontoerstellung genutzt werden. Für das Speichern von Fortschritt, den Zugang zum KI-Coach und Premium-Funktionen ist ein Konto erforderlich.
9. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt. Der KI-Coach generiert Antworten auf Ihre Eingaben, trifft jedoch keine automatisierten Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten.
10. Ihre Rechte
Sie haben jederzeit folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
- Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sie können Ihr Konto jederzeit in den App-Einstellungen selbst löschen — siehe unsere Seite Konto und Daten löschen.
- Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können den Export Ihrer Daten in einem strukturierten, maschinenlesbaren Format verlangen.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) jederzeit widersprechen. Dies betrifft insbesondere die Verarbeitung durch Vercel Analytics.
Um Ihre Rechte auszuüben, kontaktieren Sie uns bitte unter: devapp.pg@gmail.com
11. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.
Die für uns zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Heilbronner Straße 35
70191 Stuttgart
https://www.baden-wuerttemberg.datenschutz.de
12. Datensicherheit
Wir verwenden SSL/TLS-Verschlüsselung für die Übertragung Ihrer Daten. Passwörter werden ausschließlich als kryptographische Hash-Werte gespeichert. Unsere Dienste und die eingesetzten Drittanbieter sind durch aktuelle Sicherheitsmaßnahmen geschützt.
13. Mindestalter und Minderjährigenschutz
Unsere Dienste richten sich an Personen ab 16 Jahren gemäß Art. 8 Abs. 1 DSGVO. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass eine Person unter 16 Jahren uns personenbezogene Daten übermittelt hat, werden wir diese unverzüglich löschen.
Minderjährige zwischen 16 und 17 Jahren: Die kostenlose Nutzung unserer Apps ist im Rahmen der §§ 106–113 BGB (beschränkte Geschäftsfähigkeit) zulässig. Für den Abschluss eines Premium-Abonnements ist die Einwilligung des gesetzlichen Vertreters erforderlich. Eltern können den Zugang über die Familienfreigabe (Apple) bzw. Family Link (Google) sowie über die integrierte Bildschirmzeit-Funktion steuern.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder In-App-Benachrichtigung.
Stand: Februar 2026