Datenschutzerklärung

Hinweis: Dieser Text ist eine gewissenhafte Zusammenstellung, ersetzt jedoch keine anwaltliche Prüfung. Vor produktiver Nutzung empfiehlt sich eine rechtliche Prüfung durch eine qualifizierte Person.

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Fabian Burth Krumme Straße 77 10585 Berlin Deutschland

E-Mail: kontakt@14tage-rauchfrei.de · impressum@14tage-rauchfrei.de

2. Allgemeine Hinweise zur Datenverarbeitung

Die Riewend-Pumpensteuerung-App (nachfolgend „App") verarbeitet personenbezogene Daten ausschließlich, soweit dies zur Bereitstellung der angebotenen Funktionen, zur Gewährleistung der IT-Sicherheit und zur Erfüllung gesetzlicher Pflichten erforderlich ist. Die Verarbeitung erfolgt auf einem vom Betreiber selbst betriebenen Server mit Standort in Deutschland.

3. Datenkategorien

Im Rahmen der Nutzung werden folgende Daten verarbeitet:

3.1 Stammdaten

• Benutzername
• E-Mail-Adresse
• Passwort-Hash (Argon2id, der Klartext wird nie gespeichert)
• Optionaler Anzeigename

3.2 Authentifizierungs- und Sicherheitsdaten

• Session-Tokens
• Öffentliche Schlüssel des Clients (Ed25519 / X25519) zur Absicherung der API-Kommunikation
• TOTP-Secret für die Zwei-Faktor-Authentifizierung, symmetrisch verschlüsselt gespeichert
• Offene 2FA-Challenges (kurzlebig, automatisch verfallend)

3.3 Gerätedaten

• FCM-Token des Endgeräts für Push-Benachrichtigungen
• Frei wählbarer Gerätename

3.4 Telemetrie- und Nutzungsdaten

• Durchflussmesswerte je Ventil (Zeitreihen)
• Zustand und Schaltverlauf der Ventile
• Benutzerdefinierte Bewässerungszeitpläne
• Kalibrierungsdaten

3.5 Protokoll- und Sicherheitsdaten

• Login-Versuche mit IP-Adresse, Zeitstempel und Erfolg/Misserfolg zur Abwehr von Brute-Force-Angriffen
• Automatisierte Fehlerberichte der App (insbesondere anonymisierte Stack-Traces und, soweit angemeldet, die interne Nutzer-Kennung)
• Rate-Limiting-Zustand auf Basis der IP-Adresse und Request-Zähler
• Sicherheitsrelevante Ereignisse (etwa Passwortänderungen, 2FA-Aktivierung)

4. Zwecke der Verarbeitung

• Stammdaten werden zur Bereitstellung und Verwaltung des Benutzerkontos verarbeitet.
• Authentifizierungsdaten dienen der sicheren Anmeldung und dem Schutz der Sitzung.
• Gerätedaten werden zur Zustellung von Push-Benachrichtigungen verarbeitet.
• Telemetriedaten werden zur Anzeige aktueller und historischer Messwerte, zur Steuerung der Ventile sowie zur automatisierten Leckage-Erkennung verarbeitet.
• Protokolldaten dienen der IT-Sicherheit, der Missbrauchsabwehr und der Analyse und Behebung von Softwarefehlern.

5. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bereitstellung des Benutzerkontos und der Kernfunktionen der App.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Protokollierung, IT-Sicherheit, Missbrauchsabwehr, Rate-Limiting und automatisierte Fehlerberichte. Das berechtigte Interesse liegt im stabilen und sicheren Betrieb der Infrastruktur.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Push-Benachrichtigungen über Firebase Cloud Messaging sowie damit verbundene Drittlandübermittlungen. Die Einwilligung kann jederzeit durch Deaktivieren der Benachrichtigungen in der App oder im Betriebssystem widerrufen werden.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), soweit gesetzliche Pflichten zur Aufbewahrung oder Herausgabe bestehen.

6. Kamera-Nutzung für die Einrichtung der Zwei-Faktor-Authentifizierung

Die App fragt auf Wunsch den Zugriff auf die Kamera des Endgeräts an. Die Kamera wird ausschließlich verwendet, um bei der Einrichtung der Zwei-Faktor-Authentifizierung einen QR-Code einzuscannen. Dabei werden keine Bilder oder Videos gespeichert oder übertragen; die Erkennung und Verarbeitung des QR-Codes erfolgt ausschließlich lokal auf dem Gerät. Die Einwilligung zur Kamera-Nutzung kann jederzeit über die Berechtigungsverwaltung des Betriebssystems widerrufen werden.

7. Drittanbieter und Drittlandübermittlung

7.1 Firebase Cloud Messaging (Google LLC, USA)

Für die Zustellung von Push-Benachrichtigungen nutzt die App den Dienst Firebase Cloud Messaging („FCM") der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Nach der Anmeldung wird ein gerätebezogener FCM-Token erzeugt und an den Server übermittelt. Der Server verwendet diesen Token, um Benachrichtigungen über Zeitplanausführungen, Fehler und Leckage-Warnungen an das Gerät zu senden. Dabei werden die Inhalte der Benachrichtigung über die Infrastruktur von Google geleitet, wodurch eine Datenübermittlung in die Vereinigten Staaten stattfindet.

Rechtsgrundlage der Übermittlung ist die Einwilligung gemäß Art. 6 Abs. 1 lit. a und Art. 49 Abs. 1 lit. a DSGVO. Für die Übermittlung in die USA stützt sich der Betreiber, soweit anwendbar, auf einen Angemessenheitsbeschluss der Europäischen Kommission (EU-US Data Privacy Framework), hilfsweise auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Weitere Informationen zur Datenverarbeitung durch Google finden sich unter policies.google.com/privacy.

7.2 Let's Encrypt (Internet Security Research Group, USA)

Die für die verschlüsselte Kommunikation verwendeten TLS-Zertifikate werden über das ACME-Protokoll von Let's Encrypt bezogen. Dabei werden ausschließlich die Domainnamen des Dienstes übermittelt, keine personenbezogenen Daten der Nutzerinnen und Nutzer.

8. Speicherdauer

• Stammdaten werden gespeichert, solange das Benutzerkonto aktiv ist. Nach Löschung des Kontos werden sie unverzüglich entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Login-Protokolle werden zur Abwehr von Angriffen 120 Tage lang aufbewahrt und anschließend gelöscht.
• Durchfluss- und Telemetriedaten werden dauerhaft zur Historisierung gespeichert. Nutzerinnen und Nutzer können diese Daten jederzeit selbst löschen oder eine Löschung anfordern.
• Automatisierte Fehlerberichte werden gespeichert, bis der zugrunde liegende Fehler behoben ist, längstens jedoch zwölf Monate.
• FCM-Token werden gespeichert, solange das betreffende Gerät aktiv ist, und bei Abmeldung oder Deinstallation gelöscht.

9. Betroffenenrechte

Nutzerinnen und Nutzer haben jederzeit das Recht auf:

• Auskunft über die verarbeiteten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung der Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung aus Gründen berechtigten Interesses (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte genügt eine formlose Nachricht an kontakt@14tage-rauchfrei.de.

Unabhängig davon besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Für den Betreiber zuständig ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin ( datenschutz-berlin.de ).

10. Datensicherheit

Zum Schutz der verarbeiteten Daten werden unter anderem folgende Maßnahmen eingesetzt:

• Transportverschlüsselung mit TLS 1.3 zwischen App und Server; ältere Protokollversionen sind deaktiviert.
• Zusätzliche Envelope-Verschlüsselung sensibler API-Nutzdaten auf Basis von Ed25519, X25519 und AES-256-GCM.
• Speicherung von Passwörtern ausschließlich als Argon2id-Hash mit zufälligem Salt.
• Symmetrische Verschlüsselung besonders schützenswerter Geheimnisse (etwa TOTP-Secrets) auf dem Server.
• Kommunikation zwischen Server und Raspberry Pi ausschließlich über einen verschlüsselten SSH-Tunnel.
• Rate-Limiting, Login-Überwachung und automatische Abwehr verdächtiger Anfragen.

11. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, einschließlich Profiling, findet nicht statt. Die automatisierte Leckage-Erkennung wertet ausschließlich technische Messwerte einzelner Ventile aus und hat keine rechtliche Wirkung auf die nutzende Person.

12. Cookies und lokale Speicherung

Diese Landing-Page setzt keine Cookies. Lokaler Speicher (localStorage) wird ausschließlich für Einstellungen der Benutzeroberfläche verwendet (etwa zur Auswahl einer Design-Variante) und enthält keinerlei Tracking- oder Werbekennungen. Es findet keine Weitergabe dieser Daten an Dritte statt.

13. Änderungen dieser Datenschutzerklärung

Diese Erklärung kann aktualisiert werden, etwa bei Änderungen der verwendeten Technologien, Dienste oder der Rechtslage. Die jeweils gültige Fassung ist unter dieser Adresse abrufbar. Wesentliche Änderungen werden registrierten Nutzerinnen und Nutzern per E-Mail an die im Konto hinterlegte Adresse mitgeteilt.

14. Kontakt für Datenschutzanfragen

Für Fragen zum Datenschutz oder zur Ausübung der oben genannten Rechte steht der Betreiber zur Verfügung unter:

kontakt@14tage-rauchfrei.de · impressum@14tage-rauchfrei.de

Stand: 11. April 2026