Zurück

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Silly Business UG (haftungsbeschränkt)
Hochstraße 7
81669 München
Deutschland
E-Mail: info@solidestate.de
Geschäftsführer: Patrick Ohrner

2. Übersicht der Verarbeitungen

Die folgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (Name, E-Mail-Adresse)
  • Profildaten (Anzeigename, Profilbild, Bio)
  • Inhaltsdaten (Reisedaten, Aktivitäten, Unterkünfte, Chat-Nachrichten, Umfragen)
  • Finanzdaten (Ausgaben, Schuldenberechnungen, Zahlungsabwicklung)
  • Bilddaten (Fotos, Videos, EXIF-Metadaten)
  • Nutzungsdaten (aktiver Trip, UI-Einstellungen)
  • Meta-/Kommunikationsdaten (IP-Adressen für Rate-Limiting, Push-Abonnements)

3. Rechtsgrundlagen

Die Verarbeitung deiner Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Bereitstellung der App-Funktionen — Reiseplanung, Ausgabenverwaltung, Gruppenkommunikation, Fotoalbum und Zahlungsabwicklung.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Gewährleistung der IT-Sicherheit, Missbrauchsprävention (Rate-Limiting), Fehlerbehebung.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Push-Benachrichtigungen (Opt-in), Standortfreigabe für Wetterdaten (Opt-in), OCR-Belegerfassung (nur bei aktiver Nutzung durch den User).

4. Erhobene Daten im Detail

Account und Profil

Bei der Registrierung: E-Mail-Adresse, Passwort (gehasht bei Supabase). Optional: Anzeigename, Profilbild, Bio. Bei OAuth-Login (Google, Apple) werden Name und E-Mail vom Anbieter übernommen.

Reise- und Inhaltsdaten

Trips (Ziel, Zeitraum), Aktivitäten, Unterkünfte, Dokumente, Chat-Nachrichten, Umfragen und deren Abstimmungen. Diese Daten sind nur für Mitglieder des jeweiligen Trips sichtbar.

Fotos und EXIF-Daten

Beim Hochladen von Fotos werden automatisch eingebettete EXIF-Metadaten ausgelesen: Aufnahmedatum, GPS-Koordinaten und Bildabmessungen. Diese Daten ermöglichen die chronologische und geografische Darstellung in der Galerie. Du kannst die Standortfreigabe in deiner Kamera-App deaktivieren, um GPS-Daten vor dem Upload zu entfernen.

Finanzdaten

Ausgaben (Betrag, Währung, Beschreibung, Teilnehmer), Schuldenberechnungen und Ausgleichszahlungen. Bei Nutzung von Solid Payment werden Zahlungsmethoden ausschließlich bei Stripe gespeichert — wir speichern lediglich eine Referenz-ID, die letzten 4 Ziffern und die Kartenmarke.

Technische Daten

IP-Adressen werden ausschließlich für Rate-Limiting verwendet und nicht dauerhaft gespeichert. Push-Subscription-Endpoints werden für Benachrichtigungen gespeichert und bei Deaktivierung gelöscht.

5. Auftragsverarbeiter und Drittlandtransfer

Wir setzen die folgenden Dienstleister als Auftragsverarbeiter ein. Mit jedem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Supabase, Inc. — Datenbank, Authentifizierung, Echtzeit-Kommunikation
Standort: Frankfurt, EU (aws-eu-central-1)
Rechtsgrundlage: Vertragserfüllung
Cloudflare, Inc. — Foto- und Dokumentenspeicherung (R2)
Standort: EU
Rechtsgrundlage: Vertragserfüllung
Vercel, Inc. — Hosting und Bereitstellung
Standort: Edge (nächstgelegener Standort)
Drittlandtransfer: EU-US Data Privacy Framework (DPF)
Rechtsgrundlage: Vertragserfüllung
Stripe, Inc. — Zahlungsabwicklung (Solid Payment)
Standort: USA, PCI DSS Level 1 zertifiziert
Drittlandtransfer: EU-US Data Privacy Framework (DPF) + Standardvertragsklauseln (SCC)
Rechtsgrundlage: Vertragserfüllung
Verarbeitete Daten: Name, E-Mail, Zahlungsmethode, Transaktionsdaten
Google LLC — OCR-Belegerfassung (Gemini Flash / Cloud Vision)
Standort: USA
Drittlandtransfer: EU-US Data Privacy Framework (DPF)
Rechtsgrundlage: Einwilligung (Nutzer löst Scan aktiv aus)
Verarbeitete Daten: Belegbilder (Base64) zur Texterkennung. Bilder werden nur zur Verarbeitung übermittelt und nicht von Google gespeichert.

Drittlandtransfer: Soweit personenbezogene Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) und/oder EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

6. Externe Dienste ohne Personenbezug

Die App nutzt folgende öffentliche APIs, an die keine personenbezogenen Daten übermittelt werden:

  • Open-Meteo (open-meteo.com) — Wetterdaten. Übermittelt werden ausschließlich Koordinaten des Reiseziels (nicht des Nutzers).
  • OpenStreetMap Nominatim (nominatim.openstreetmap.org) — Reverse Geocoding zur Anzeige von Ortsnamen. Übermittelt werden Koordinaten des Reiseziels.
  • AviationStack (aviationstack.com) — Flugstatus-Abfrage. Übermittelt wird ausschließlich die Flugnummer.

7. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (Supabase Session-Cookies, Präfix sb-). Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Eine Einwilligung ist für technisch notwendige Cookies nicht erforderlich (§ 25 Abs. 2 TDDDG).

Zusätzlich nutzen wir den lokalen Speicher deines Browsers (localStorage) für folgende Zwecke:

  • Aktiver Trip (damit du nicht bei jedem Besuch neu auswählen musst)
  • Wetter-Cache (um unnötige API-Anfragen zu vermeiden)
  • UI-Einstellungen (z.B. ob ein Hinweis-Banner geschlossen wurde)
  • Standortfreigabe-Präferenz (Opt-in für Wetterdaten)
  • Offline-Warteschlange (IndexedDB, für Aktionen ohne Internetverbindung)

Diese Daten verlassen dein Gerät nicht und können jederzeit über die Browser-Einstellungen gelöscht werden.

8. Push-Benachrichtigungen

Du kannst Push-Benachrichtigungen optional aktivieren (Opt-in). Dabei wird ein Push-Subscription-Endpoint deines Browsers bei uns gespeichert. Die Zustellung erfolgt über den Web-Push-Standard (VAPID-Authentifizierung) direkt an deinen Browser — ohne Umweg über Drittanbieter wie Google FCM oder Apple APNs. Du kannst Push-Benachrichtigungen jederzeit in den App-Einstellungen oder den Browser-Einstellungen deaktivieren. Bei Deaktivierung wird der Endpoint gelöscht.

9. Echtzeit-Kommunikation

Chat-Nachrichten, Lesebestätigungen, Emoji-Reaktionen und Tipp-Indikatoren werden über verschlüsselte WebSocket-Verbindungen (WSS) zu Supabase Realtime übertragen. Die Nachrichten werden in der Datenbank gespeichert und sind nur für Mitglieder des jeweiligen Trips zugänglich. Es findet keine Ende-zu-Ende-Verschlüsselung statt — der Betreiber hat technisch Zugriff auf die Nachrichteninhalte.

10. Speicherdauer

Deine Daten werden gespeichert, solange dein Account aktiv ist. Bei Löschung des Accounts werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht. Ausgenommen sind Daten, für die gesetzliche Aufbewahrungspflichten bestehen (z.B. Zahlungsdaten gemäß steuerrechtlichen Vorgaben: bis zu 10 Jahre).

10a. Nutzungsanalyse (optional)

Mit deiner ausdrücklichen Einwilligung (Opt-in in den Profileinstellungen) erfassen wir anonymisierte Nutzungsstatistiken, um Solid Split zu verbessern.

Was wird erfasst: Welche Funktionen du nutzt (z.B. Ausgabe erstellt, Foto hochgeladen), Bildschirmaufrufe, Gerätetyp und Session-ID.

Was wird NICHT erfasst: Keine Chat-Inhalte, keine Expense-Titel, keine exakten Geldbeträge (nur Größenklassen), keine GPS-Koordinaten, keine IP-Adressen, keine Dokumente.

Speicherung: Rohdaten werden nach 90 Tagen automatisch gelöscht. Aggregierte Tagesstatistiken (ohne User-ID) werden bis zu 2 Jahre aufbewahrt. Alle Daten verbleiben in der EU (Supabase Frankfurt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Analyse jederzeit in den Profileinstellungen deaktivieren. Bei Account-Löschung werden auch alle Analytics-Daten gelöscht.

Unabhängig von der Einwilligung erfassen wir anonyme Performance-Metriken (Ladezeiten, API-Latenz) auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) zur Sicherstellung der Servicequalität.

11. Deine Rechte

Du hast gemäß DSGVO folgende Rechte:

  • Auskunft (Art. 15): Du kannst Auskunft über deine gespeicherten Daten verlangen.
  • Berichtigung (Art. 16): Du kannst die Korrektur unrichtiger Daten verlangen.
  • Löschung (Art. 17): Du kannst die Löschung deiner Daten verlangen (siehe auch Abschnitt 12).
  • Einschränkung (Art. 18): Du kannst die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20): Du kannst deine Daten in einem strukturierten Format erhalten.
  • Widerspruch (Art. 21): Du kannst der Verarbeitung auf Basis berechtigter Interessen widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3): Erteilte Einwilligungen (z.B. Push-Benachrichtigungen) kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung deiner Rechte kontaktiere uns unter: info@solidestate.de

12. Account-Löschung

Du kannst deinen Account jederzeit selbst in den Einstellungen löschen. Dabei werden folgende Daten kaskadierend und unwiderruflich entfernt:

  • Profildaten (Name, E-Mail, Profilbild, Bio)
  • Alle Chat-Nachrichten und Reaktionen
  • Alle hochgeladenen Fotos und Dokumente
  • Alle Ausgaben und Schuldenberechnungen
  • Push-Abonnements
  • Stripe-Kundendaten und Connect-Account
  • Trip-Mitgliedschaften (Trips bleiben für andere Mitglieder erhalten)

13. Beschwerderecht bei der Aufsichtsbehörde

Wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt, hast du das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version findest du immer unter dieser URL. Bei wesentlichen Änderungen informieren wir dich per E-Mail oder In-App-Benachrichtigung.