Datenschutzerklärung

Diese Datenschutzerklärung informiert dich darüber, wie wir personenbezogene Daten verarbeiten, wenn du unsere Website (aha-kids.de) oder die aha Kids App nutzt.

1. Verantwortliche Stelle

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

aha Kids GbR
Ammar Nemat, Fabienne Zumholz, Michael Zumholz
Goltzstraße 63
13587 Berlin
E-Mail: hello@aha-kids.de

2. Geltungsbereich

Diese Erklärung gilt für unsere Website aha-kids.de sowie für die aha Kids App (derzeit für iOS; eine Android-Version ist in Vorbereitung). Wo sich die Verarbeitung zwischen Website und App unterscheidet, weisen wir gesondert darauf hin.

3. Welche Daten wir verarbeiten

Je nach Nutzung verarbeiten wir folgende Kategorien personenbezogener Daten:

• Konto- und Anmeldedaten (App): Bei der Registrierung mit E-Mail-Adresse und Passwort oder über „Sign in with Apple“ bzw. „Sign in with Google“ erhalten wir eine E-Mail-Adresse (bei Apple ggf. eine anonymisierte Weiterleitungsadresse), einen Namen, soweit bereitgestellt, sowie eine eindeutige Nutzerkennung. Dein Passwort wird ausschließlich verschlüsselt (gehasht) bei unserem Auth-Dienstleister gespeichert; wir können es nicht einsehen.
• Kauf- und Lizenzdaten: Welche Geschichten du erworben oder freigeschaltet hast, die Kaufquelle (z. B. Apple In-App-Kauf), eine Transaktionskennung und der Kaufzeitpunkt. Deine Zahlungsdaten selbst (z. B. Kreditkarte) werden ausschließlich von Apple verarbeitet – wir erhalten sie nicht.
• Nutzungs- und Fortschrittsdaten: Lesefortschritt (zuletzt gelesene Seite, Fortschritt in Prozent), verknüpft mit dem Elternkonto. Favoriten werden ausschließlich lokal auf deinem Gerät gespeichert und nicht an unsere Server übertragen.
• Push-Token: Nur wenn du Benachrichtigungen aktivierst, speichern wir die Push-Kennung deines Geräts zusammen mit technischem Kontext (z. B. Plattform, App- und Betriebssystem-Version, Sprache, Zeitzone und Berechtigungsstatus), um dich über neue Geschichten zu informieren.
• Feedback: Inhalte, die du uns über die Feedback-Funktion oder per E-Mail sendest.
• Technische Daten / Server-Logs: IP-Adresse, Datum und Uhrzeit, Geräte- und Betriebssysteminformationen, die technisch zur Auslieferung und Sicherheit erforderlich sind.
• Kontakt- und Newsletter-Daten (Website): Name, E-Mail-Adresse und Nachricht, wenn du unser Kontakt- oder Newsletter-Formular nutzt.

Wir erheben keine besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) und betreiben kein Profiling und keine Werbung.

4. Hinweise für Kinder und Eltern

Die Inhalte von aha Kids richten sich an Kinder von 3–8 Jahren. Konten werden ausschließlich von Eltern bzw. Erziehungsberechtigten eingerichtet, und nur sie tätigen Käufe (Art. 8 DSGVO). Wir richten unsere Datenverarbeitung nicht gezielt auf Kinder aus: Fortschritts- und Favoritendaten dienen allein dazu, die App bereitzustellen (z. B. an der richtigen Stelle weiterzulesen). Es gibt keine Werbung, kein Tracking und keine Weitergabe von Kinderdaten zu Werbezwecken.

5. Zwecke und Rechtsgrundlagen

• Bereitstellung von Website und App, Kontoverwaltung sowie Zugang zu erworbenen Inhalten: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
• Abwicklung von Käufen und Bereitstellung der Lizenz: Art. 6 Abs. 1 lit. b DSGVO.
• Push-Benachrichtigungen über neue Geschichten und Newsletter: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar).
• Bearbeitung von Anfragen und Feedback: Art. 6 Abs. 1 lit. b und f DSGVO.
• IT-Sicherheit, Stabilität und Missbrauchsverhinderung (Server-Logs): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
• Erfüllung gesetzlicher Pflichten (z. B. steuer- und handelsrechtliche Aufbewahrung): Art. 6 Abs. 1 lit. c DSGVO.

6. Eingesetzte Dienste und Empfänger

Zur Bereitstellung unseres Angebots setzen wir sorgfältig ausgewählte Dienstleister ein, die als Auftragsverarbeiter für uns tätig werden (Art. 28 DSGVO):

• Supabase (Supabase, Inc., USA) – Backend, Konten, Datenbank und Server-Funktionen der App. Die Daten werden in einem Rechenzentrum in der EU (Frankfurt am Main) gespeichert. Es besteht ein Auftragsverarbeitungsvertrag.
• Apple (Apple Distribution International Ltd., Irland / Apple Inc., USA) – App Store, In-App-Käufe (Apple ist Verkäufer und Zahlungsabwickler), „Sign in with Apple“ und Push-Versand (APNs).
• Google (Google Ireland Ltd., Irland) – „Sign in with Google“, sofern du diese Anmeldeoption wählst.
• Resend (Resend, Inc., USA) – Versand von E-Mails (z. B. Weiterleitung deines Feedbacks an uns).
• GitHub Pages (GitHub, Inc. / Microsoft, USA) – Hosting und Auslieferung unserer Website; dabei fallen Server-Logs (u. a. IP-Adresse) an.
• Formspree (Formspree, Inc., USA) – Verarbeitung der Kontakt- und Newsletter-Formulare auf der Website.
• Google Fonts (Google Ireland Ltd. / Google LLC, USA) – Schriftarten auf der Website. Diese werden derzeit über die Server von Google geladen, wodurch deine IP-Adresse an Google übermittelt wird. Eine Umstellung auf lokale (selbst gehostete) Schriftarten ist geplant.

Eine Weitergabe an Dritte zu Werbezwecken findet nicht statt. Darüber hinaus geben wir Daten nur weiter, wenn wir gesetzlich dazu verpflichtet sind.

7. Datenübermittlung in Drittländer

Die App-Daten werden vorrangig in der EU (Frankfurt) gespeichert. Einige der oben genannten Anbieter haben ihren Sitz in den USA bzw. können Daten dort verarbeiten (Apple, Google, Resend, GitHub/Microsoft, Formspree, Google Fonts). Soweit dabei Daten in die USA übermittelt werden, stützen wir dies auf einen Angemessenheitsbeschluss im Rahmen des EU-US Data Privacy Framework und/oder auf die Standardvertragsklauseln der EU-Kommission (Art. 44 ff. DSGVO) nebst ergänzenden Schutzmaßnahmen.

8. Speicherdauer und Löschung

• Konto- und Fortschrittsdaten speichern wir, solange dein Konto besteht. Bei Löschung des Kontos werden sie gelöscht oder anonymisiert. Lokal auf dem Gerät gespeicherte Daten (z. B. Favoriten) werden beim Entfernen der App gelöscht.
• Kauf- und Rechnungsdaten bewahren wir nach Maßgabe der gesetzlichen Aufbewahrungsfristen auf (i. d. R. 8–10 Jahre nach HGB und AO).
• Push-Token werden gelöscht, sobald du Benachrichtigungen deaktivierst oder die App entfernst.
• Server-Logs werden nur kurzzeitig gespeichert und anschließend gelöscht.
• Eltern können jederzeit die Löschung der Daten verlangen oder das Konto in der App bzw. per E-Mail löschen.

9. Push-Benachrichtigungen

Push-Benachrichtigungen erhältst du nur, wenn du ihnen auf deinem Gerät ausdrücklich zustimmst. Wir nutzen sie ausschließlich, um über neue Geschichten zu informieren. Du kannst sie jederzeit in den Geräteeinstellungen wieder deaktivieren.

10. Cookies, lokale Speicherung und Tracking

Unsere Website setzt keine Analyse- oder Werbe-Cookies ein. Wir verwenden lediglich technisch notwendige lokale Speicherung (z. B. zur Merkung deiner Spracheinstellung). In der App verzichten wir bewusst vollständig auf Tracking, Werbe-SDKs und Analyse-Dienste von Drittanbietern.

11. Deine Rechte

Als betroffene Person hast du folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung deiner Rechte genügt eine formlose E-Mail an: hello@aha-kids.de

12. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen – dazu gehören Transportverschlüsselung (TLS/HTTPS), Zugriffsbeschränkungen und ein EU-basiertes Hosting der App-Daten.

13. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Verarbeitung oder die Rechtslage ändert. Über wesentliche Änderungen informieren wir rechtzeitig per App-Hinweis oder E-Mail.

14. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass deine Daten rechtswidrig verarbeitet werden. Für uns zuständig ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit; du kannst dich auch an die Behörde deines Wohnorts wenden.