Datenschutzerklärung — Anwender (App-Nutzung)

Stand: 03.06.2026 · Gilt für die registrierte Nutzung der Web-App todo-board.de und der Android-App de.todo_board.widget („ToDo-Board" im Google Play Store).

0. Geltungsbereich

Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten bei der Nutzung des Dienstes mit Konto (Web-App und Android-App). Für den reinen Besuch der Webseite ohne Anmeldung gilt die gesonderte Datenschutzerklärung für Webseitenbesucher.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
Stefan Goetsch, Johann-Simon-Str. 40, 50226 Frechen, Deutschland
E-Mail: support@familiexxl.de
Telefon: +49 (0) 2234 2198489
Kontaktformular: /kontakt · Impressum: /impressum

Ein Datenschutzbeauftragter ist gesetzlich nicht zu benennen (kein Fall des § 38 BDSG).

2. Welche Daten wir verarbeiten

2.1 Account-Daten (Pflicht für die Nutzung)

• E-Mail-Adresse (Login und Kontakt für Account-Aktionen),
• Anzeigename,
• Passwort — gespeichert ausschließlich als bcrypt-Hash (Cost 12), nie im Klartext,
• Account-Einstellungen (Zeitzone, Anzeige-Präferenzen).

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

2.2 App-Inhalte (von dir selbst erstellt)

• Aufgaben inkl. Titel, Beschreibung, Fälligkeitsdatum, Status, Kategorie,
• Notizen (Texte und ggf. Bild-Anhänge),
• Kategorien (eigene Labels/Farben),
• wiederkehrende Aufgaben,
• Einkaufslisten inkl. Einträge und ggf. Receipt-Bilder,
• geteilte Listen und Einträge,
• Gruppen-Mitgliedschaften und Gruppen-Inhalte,
• Kontakt-Beziehungen und Inbox-Nachrichten (Nutzer-zu-Nutzer),
• Chat-Nachrichten inkl. Text, Bildern, Sprachnachrichten, Emoji und Reaktionen,
• Sammlungen (Serien, Filme, Bücher, Spiele, Rezepte) inkl. Bewertungen und Fortschritt.

Hochgeladene Bilder werden als Dateien auf dem Server gespeichert (nicht in der Datenbank). Andere Nutzer sehen deine Inhalte nur, wenn du sie selbst teilst (geteilte Liste, Gruppe, Kontakt-Inbox).

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

2.3 In-App-Teilen ist keine Weitergabe an Dritte

Inhalte, die du innerhalb der App mit anderen Nutzern teilst (geteilte Liste, Gruppe, Kontakt-Inbox, Chat), stellen keine Weitergabe an Dritte im datenschutzrechtlichen Sinn dar — du entscheidest selbst, welche Inhalte du wem zugänglich machst. Beim synchronen Teilen einer Aufgabe (Abhaken wirkt für beide Seiten) ist Voraussetzung, dass beide Beteiligte sich gegenseitig die entsprechende Verknüpfung erlaubt haben.

2.4 Push-Benachrichtigungen (optional)

Web-Push: Aktivierst du Push im Browser, speichern wir die vom Browser ausgestellte Web-Push-Subscription: Endpoint-URL des Push-Dienstes (z. B. Mozilla autopush, Google FCM, Apple APNs — je nach Browser), Public Key (p256dh) und Auth-Secret. Wir nutzen diese Daten ausschließlich, um dir Push-Nachrichten zuzustellen (z. B. Erinnerungen oder Refresh-Trigger für das Widget). Die Übertragung erfolgt verschlüsselt (Web-Push-Standard, RFC 8291). Du kannst Push jederzeit in den Browser-Einstellungen oder im Einstellungs-Dialog der App widerrufen.

Native Push in der Android-App (Firebase Cloud Messaging): Nutzt du die App aus dem Google Play Store und erlaubst Benachrichtigungen, registriert die App ein FCM-Registrierungs-Token (eine pseudonyme, von Google ausgestellte Geräte-Kennung) bei unserem Server. Wir senden dabei nur einen inhaltslosen Hinweis („Neue Nachricht" / „Erinnerung fällig") nebst interner Kennung; den eigentlichen Inhalt lädt die App erst beim Öffnen von unserem Server. Du kannst native Push jederzeit über die Android-Systemeinstellungen oder durch Deinstallation widerrufen; bei Logout oder Zustellfehler löschen wir das Token.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Zur Drittlandübermittlung des FCM-Tokens siehe Ziffer 6.

2.5 Widget-Verbindungen (optional, Android-App)

Damit das „Heute"-Widget der Android-App deine Aufgaben anzeigen kann, erzeugt das System pro Gerät ein widerrufbares Lese-Token (zufälliger String). Es ist an deinen Account gebunden, gewährt nur Lese-Zugriff auf deine „Heute"-Ansicht und kann jederzeit im User-Menü unter „Widget einrichten…" widerrufen werden.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

2.6 KI-gestützter Import (optional, Opt-In pro Aktion)

Wenn du die Funktion „KI-Import" für Aufgaben oder Einkaufslisten aktiv anwählst — z. B. um ein Foto einer handschriftlichen Liste in strukturierte Einträge zu verwandeln —, übertragen wir die von dir hochgeladenen Bilder bzw. den eingegebenen Text an eine KI-Verarbeitungskette mit Sitz in den USA:

• Fal Labs Inc. (San Francisco, USA) — API-Gateway,
• OpenRouter, Inc. (USA) — Model-Router,
• Anthropic, PBC (San Francisco, USA) — Model-Provider (Modell aus der Claude-Sonnet-Familie; der Provider wird explizit auf Anthropic gepinnt, kein Re-Routing).

Verarbeitet werden ausschließlich die Inhalte, die du aktiv für den KI-Import auswählst — nicht dein gesamtes Konto. Die KI antwortet mit strukturierten Daten (z. B. Aufgaben oder Einkaufs-Items), die anschließend in deinem Konto gespeichert werden. Original-Bild bzw. -Text werden bei den KI-Anbietern nicht dauerhaft gespeichert; nach den Standard-Policies der Anbieter kann jedoch eine kurzzeitige Speicherung zur Missbrauchs-/ Sicherheitserkennung erfolgen. Aufrufe protokollieren wir in einer eigenen, nur für dich sichtbaren Tabelle, die bei Account-Löschung mitgelöscht wird.

Rate-Limit: max. 5 Imports pro Stunde und Account, max. 5 MB pro Bild, max. 5 Bilder pro Aufruf.

Hinweis zu Bildinhalten: Achte vor dem Upload bewusst darauf, was auf deinem Bild zu sehen ist. Enthält ein Foto z. B. Adressen, Telefonnummern oder Namen Dritter, werden diese mitübertragen. Schwärze sensible Angaben bei Bedarf vorher.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; Opt-In pro Aktion); für die Drittlandübermittlung Art. 49 Abs. 1 lit. a DSGVO (siehe Ziffer 6).

2.7 Eigene KI-Schlüssel (BYOK, optional)

In den Einstellungen kannst du eigene API-Schlüssel für Anthropic, OpenAI oder Google (Gemini) hinterlegen. Ist ein eigener Schlüssel gesetzt und nutzt du eine KI-Funktion, werden die benötigten Inhalte direkt von unserem Server an den jeweiligen Anbieter übermittelt — nicht mehr über die Standard-Kette aus Ziffer 2.6. Deine Schlüssel werden AES-256-GCM-verschlüsselt in der Datenbank gespeichert und nie im Klartext an die App zurückgegeben (nur maskiert zur Anzeige). Die Anbieter haben ihren Sitz in den USA; ihre Datenschutzregelungen findest du unter anthropic.com/legal/privacy, openai.com/policies/privacy-policy bzw. policies.google.com/privacy. Du kannst eigene Schlüssel jederzeit wieder löschen.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); für die Drittlandübermittlung Art. 49 Abs. 1 lit. a DSGVO.

2.8 Kalender-Import (optional)

Verbindest du in den Einstellungen einen Kalender-Feed, speichern wir die von dir angegebene ICS-/iCal-URL (ein geheimer Abruf-Link deines Kalenderanbieters). Der Server ruft diese URL periodisch (ca. alle 30 Minuten) sowie auf deine manuelle Auslösung ab und übernimmt Termine der nächsten 30 Tage (Titel, Datum, Uhrzeit) als Aufgaben. Die Verarbeitung erfolgt ausschließlich serverseitig bei unserem Hoster (netcup); es werden keine Kalenderdaten an Dritte weitergegeben. Es handelt sich um einen reinen, nur lesenden Einweg-Import; wir schreiben nichts in deinen Kalender zurück. Du kannst den Feed jederzeit entfernen; die ICS-URL wird dann gelöscht (bereits importierte Aufgaben bleiben erhalten).

Rechtsgrundlage: Vertragserfüllung bzw. dein ausdrücklicher Wunsch (Art. 6 Abs. 1 lit. b DSGVO).

2.9 Anmeldung mit Google / Microsoft (Single Sign-on, optional)

Du kannst dich optional mit deinem Google- oder Microsoft-Konto (Outlook, Hotmail, Live, Office 365) anmelden. Wir verwenden dazu die offiziellen OpenID-Connect-Bibliotheken (Google Identity Services bzw. Microsoft Authentication Library). Der Anbieter gibt deinem Browser ein signiertes ID-Token, das wir serverseitig gegen die Schlüssel des Anbieters verifizieren. Gespeichert werden dabei: provider (google/microsoft), die anwendungsbezogene Nutzerkennung (sub) sowie die zum Verlink-Zeitpunkt verknüpfte E-Mail-Adresse. Kein Passwort, kein Refresh-Token, kein Access-Token verlässt unseren Server. Wir rufen keine Daten aus deinem Google-/Microsoft-Konto ab (keine Mails, kein Kalender, keine Kontakte). Du kannst die Verbindung jederzeit unter Einstellungen → Sicherheit trennen.

Empfänger beim Login-Klick: Google Ireland Limited (Dublin, Irland) bzw. Microsoft Ireland Operations Ltd. (Dublin, Irland); eine Verarbeitung kann jeweils auch in den USA erfolgen.
Rechtsgrundlage: Einwilligung durch Wahl des Login-Buttons (Art. 6 Abs. 1 lit. a DSGVO).

2.10 Vertraute Geräte (optional)

Aktivierst du beim Login mit starkem zweitem Faktor (Authenticator-App oder Sicherheitsschlüssel) die Option „Diesem Gerät 30 Tage vertrauen", speichern wir ein zufällig erzeugtes, opakes Token (in der Datenbank nur als SHA-256-Hash), die Browser-/ Betriebssystem-Kurzform sowie deine IP-Adresse zum Ausstellungszeitpunkt. Der Klartext-Token liegt als HttpOnly-Cookie in deinem Browser und erlaubt 30 Tage lang die Anmeldung ohne zweiten Faktor — das Passwort bleibt Pflicht. Du kannst jedes vertraute Gerät jederzeit unter Einstellungen → Sicherheit → Vertraute Geräte widerrufen. Schaltest du den starken zweiten Faktor ab, werden alle vertrauten Geräte automatisch widerrufen.

Rechtsgrundlage: berechtigtes Interesse an Komfort sowie Schutz vor Brute-Force-/Credential-Stuffing-Angriffen (Art. 6 Abs. 1 lit. f DSGVO).

2.11 Server-Logs (technisch notwendig)

Bei jedem Request werden IP-Adresse, User-Agent und Zeitstempel im Access-Log gespeichert und nach 14 Tagen automatisch rotiert.
Rechtsgrundlage: berechtigtes Interesse an Betriebssicherheit und Missbrauchsschutz (Art. 6 Abs. 1 lit. f DSGVO).

2.12 Session-Cookie, Service-Worker und LocalStorage

Beim Login wird ein technisch notwendiger Session-Cookie (board.sid) gesetzt (HttpOnly, Secure, SameSite=Lax); er enthält nur eine zufällige Session-ID, die serverseitig deinem Account zugeordnet ist. Beim ersten Aufruf installiert dein Browser einen Service-Worker (sw.js) für Offline-Nutzung und Push-Empfang. Im LocalStorage speichern wir UI-Präferenzen (Theme, Sidebar-Zustand, Diktat-Modus, „Erledigte ausblenden"). Diese Speicherzugriffe sind technisch erforderlich im Sinne von § 25 Abs. 2 Nr. 2 TDDDG; ein Cookie-Consent-Banner wird nicht eingesetzt, da keine Marketing-, Analytics- oder Tracking-Cookies verwendet werden.

2.13 Freiwillige Spende (PayPal, optional)

Beim Klick auf den Spende-Link wirst du zu PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg, weitergeleitet; die dabei anfallenden Zahlungsdaten verarbeitet ausschließlich PayPal (ggf. auch in den USA). Wir erhalten lediglich eine Eingangsbestätigung und ggf. den bei PayPal hinterlegten Namen. Details: paypal.com/de/legalhub/privacy-full.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

3. Android-App

Die Android-App (de.todo_board.widget) ist eine Trusted Web Activity (TWA): Sie zeigt die Web-App in einer Chrome-Custom-Tab-Hülle an und enthält zusätzlich ein „Heute"-Home-Screen-Widget. Die App:

• fordert nur die Berechtigungen INTERNET, ACCESS_NETWORK_STATE und — ab Android 13 — POST_NOTIFICATIONS an,
• greift nicht auf Standort, Kamera, Mikrofon, Kontakte, Telefon, Kalender, lokales Dateisystem oder andere Apps zu,
• enthält Firebase Cloud Messaging ausschließlich zur Zustellung von Push-Benachrichtigungen — kein Crashlytics, kein Google Analytics, keine Werbe-SDKs, keine Tracker,
• nutzt keine Werbe-IDs und sendet keine Device-Fingerprints,
• liest Daten ausschließlich vom Server todo-board.de über das persönliche Widget-Token (siehe 2.5).

Login und Inhalte verwaltet die TWA-/Browser-Schicht des Geräts; die App selbst speichert keine Account- oder Inhaltsdaten außerhalb des Browser-Caches.

4. Zwecke und Rechtsgrundlagen im Überblick

• Account-Verwaltung und App-Funktion (Aufgaben, Notizen, Listen, Teilen, Chat, Kalender-Import): Art. 6 Abs. 1 lit. b DSGVO.
• Web-Push und native Push (FCM): Art. 6 Abs. 1 lit. a DSGVO; für die Übermittlung des FCM-Tokens an Google in den USA zusätzlich Art. 49 Abs. 1 lit. a DSGVO.
• KI-gestützter Import und eigene KI-Schlüssel: Art. 6 Abs. 1 lit. a DSGVO; für die Drittlandübermittlung Art. 49 Abs. 1 lit. a DSGVO.
• Anmeldung mit Google/Microsoft: Art. 6 Abs. 1 lit. a DSGVO.
• Vertraute Geräte, Brute-Force-Schutz, Server-Logs: Art. 6 Abs. 1 lit. f DSGVO.
• Account-Mails (Welcome, Password-Reset, Kontakt): Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.

5. Empfänger der Daten

Eine Weitergabe deiner Daten zu Werbe- oder Profilbildungszwecken findet nicht statt. Eingebunden sind:

• Hosting: netcup GmbH, Karlsruhe (Auftragsverarbeiter, Art. 28 DSGVO).
• KI-Anbieter (nur bei aktivem Opt-In, Ziffer 2.6): Fal Labs Inc. (USA), OpenRouter Inc. (USA), Anthropic PBC (USA).
• Eigene KI-Schlüssel (nur bei aktivem BYOK, Ziffer 2.7): direkt Anthropic PBC, OpenAI LLC oder Google LLC (jeweils USA).
• Web-Push-Dienste (browserabhängig, nur bei Opt-In): Mozilla (USA), Google (USA) bzw. Apple (USA) — übermittelt werden nur Web-Push-verschlüsselte Payloads.
• Native Push / Firebase Cloud Messaging (nur Android-App, nur bei Opt-In): Google Ireland Limited bzw. Google LLC (USA); übermittelt wird das FCM-Token, nicht der Benachrichtigungsinhalt. Auftragsverarbeitung über die Google/Firebase Data Processing Terms.
• Single Sign-on (nur bei Nutzung, Ziffer 2.9): Google Ireland Limited bzw. Microsoft Ireland Operations Ltd.
• PayPal (nur bei freiwilliger Spende, Ziffer 2.13).
• Mailversand: über einen eigenen Postfix-Server bei netcup; kein externes Mail-Relay.

6. Drittlandübermittlungen

Bei Nutzung der genannten optionalen Funktionen werden Daten in die USA übermittelt: KI-Import und BYOK (Ziffern 2.6/2.7), native Push (FCM, Ziffer 2.4), Web-Push je nach Browser sowie ggf. SSO und PayPal. Soweit ein US-Empfänger nach dem EU-US Data Privacy Framework zertifiziert ist, stützt sich die Übermittlung darauf; ergänzend bzw. andernfalls auf Standardvertragsklauseln und — für die ausdrücklich von dir ausgelösten, gelegentlichen Übermittlungen (KI-Import, BYOK, FCM, SSO, Spende) — auf deine Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO.

7. Übersicht der Datenkategorien (Google-Play-Format)

* „Geteilt" meint Weitergabe an Dritte. Inhalte, die du selbst innerhalb der App mit anderen Nutzern teilst, sind kein Sharing im datenschutzrechtlichen Sinn.
** Nur wenn du die optionale Funktion KI-Import aktiv anwählst, werden die dafür hochgeladenen Inhalte an die KI-Anbieter in den USA übermittelt. Im normalen Betrieb verlassen deine Inhalte unseren Server nicht.

8. Speicherdauer

• Account-Daten und Inhalte: solange dein Account besteht.
• Bei Account-Löschung: sofortige Löschung aus der Datenbank (Cascade über alle Tabellen). Restbestände in Off-Server-Backups werden im nächsten Backup-Zyklus überschrieben (max. 90 Tage).
• Server-Logs: rotiert nach 14 Tagen; Mail-Server-Logs (netcup): max. 30 Tage.
• Tote Push-Subscriptions: bei nächstem Send-Fehler (HTTP 410/404) sofort gelöscht.
• FCM-Registrierungs-Token: gespeichert, solange das Gerät registriert ist; gelöscht bei Logout, Deinstallation oder Zustellfehler.

9. Account-Löschung

Du kannst dein Konto und alle damit verbundenen Daten jederzeit löschen:

• In der App (empfohlen): User-Menü → „Einstellungen…" → „Konto löschen". Passwort + Bestätigung DELETE eingeben → sofortige, unwiderrufliche Löschung.
• Per E-Mail: an noreply@todo-board.de, Betreff „Konto löschen", mit deiner Account-Mail im Text. Bearbeitung und Löschung innerhalb von 30 Tagen.

Vollständige Anleitung und Liste der gelöschten Datenkategorien: /account-loeschen.html.

10. Meldung rechtswidriger Inhalte (Art. 16 DSA)

Fällt dir auf todo-board.de ein rechtswidriger Inhalt auf (z. B. in einer öffentlich geteilten Liste, einem Gruppen-Eintrag, einer Inbox-Nachricht), kannst du ihn über das Meldeformular unter /inhalt-melden melden. Du erhältst eine Empfangsbestätigung und — falls ein Inhalt eingeschränkt oder entfernt wird — ein „Statement of Reasons" gemäß Art. 17 DSA.

11. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO findet nicht statt. Der KI-Import wird von dir aktiv ausgelöst und liefert nur Vorschläge, die du vor der Übernahme prüfst und bestätigst.

12. Deine Rechte

• Auskunft (Art. 15 DSGVO),
• Berichtigung (Art. 16 DSGVO),
• Löschung (Art. 17 DSGVO) — siehe Ziffer 9,
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit (Art. 20 DSGVO),
• Widerspruch (Art. 21 DSGVO),
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft,
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig: LDI NRW (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen).

Zur Wahrnehmung deiner Rechte genügt eine Nachricht über das Kontaktformular oder per E-Mail an support@familiexxl.de.

13. Sicherheit

Alle Verbindungen erfolgen über TLS (HTTPS). Passwörter werden nur als bcrypt-Hashes (Cost 12) gespeichert; eigene KI-Schlüssel AES-256-GCM-verschlüsselt. Push-Payloads werden vor dem Versand mit dem Public Key der Subscription verschlüsselt (Web-Push-Standard). Session-Cookies sind HttpOnly, Secure und SameSite=Lax. Ergänzend bestehen Brute-Force-Schutz mit IP-Sperre, manipulationsgesicherte serverseitige Audit-Logs sowie automatische Sicherheits-Updates.

14. Minderjährige

Das Angebot richtet sich an Personen ab 16 Jahren (Art. 8 DSGVO i. V. m. § 4 BDSG). Jüngere Personen dürfen den Dienst nur mit Einwilligung der/des Erziehungsberechtigten nutzen. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren ohne entsprechende Einwilligung.

15. Änderungen dieser Erklärung

Diese Datenschutzerklärung wird angepasst, wenn sich die rechtlichen oder technischen Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist unter /datenschutz-app abrufbar. Wesentliche Änderungen kommunizieren wir per E-Mail.