Datenschutzerklärung

1. Verantwortlicher

Tim Kaltenbrunner
Schönauring 58
8052 Zürich
Schweiz
E-Mail: tim.kaltenbrunner@gmail.com

2. Welche Daten werden erhoben?

Babyphone Timmy erhebt so wenig Daten wie technisch möglich. Im Einzelnen:

• Firebase Anonymous Auth UID — Eine automatisch generierte, temporäre Kennung. Sie enthält keine persönlichen Daten (kein Name, keine E-Mail, kein Passwort).
• Firestore-Sitzungsdaten — SDP-Angebote und -Antworten sowie ICE-Kandidaten. Dies sind rein technische Verbindungsdaten, die für den Aufbau der WebRTC-Verbindung benötigt werden. SDP/ICE-Daten werden unmittelbar nach erfolgreichem Verbindungsaufbau aus Firestore entfernt. Der Sitzungsdatensatz selbst (anonymisierte und verschlüsselte Verbindungsmetadaten) wird spätestens nach 24 Stunden vollständig gelöscht.
• Pairing-Codes — Temporäre 4-stellige Codes zum Koppeln zweier Geräte. Der Pairing-Code selbst wird niemals an einen Server übertragen und verlässt das Gerät nicht. Nur ein kryptografischer Hash (SHA-256) des Codes wird als Firestore-Dokumentkennung verwendet. Der Hash lässt keinen Rückschluss auf den ursprünglichen Code zu. Pairing-Dokumente werden spätestens nach 24 Stunden gelöscht.

3. Welche Daten werden NICHT erhoben?

Babyphone Timmy wurde bewusst so entwickelt, dass möglichst keine personenbezogenen Daten verarbeitet werden:

• Keine Audio- oder Videodaten auf Servern — Die gesamte Audio- und Videoübertragung erfolgt direkt zwischen den Geräten (Peer-to-Peer via WebRTC). Kein Server hört mit oder zeichnet auf.
• Keine E-Mail-Adressen, keine Passwörter — Die App verwendet ausschließlich anonyme Authentifizierung.
• Keine Standortdaten — Es werden keine Standortdaten erhoben oder gespeichert.
• Keine Cookies in App und statischer Website — Die App und diese Website setzen keine eigenen Cookies. Das externe Forum kann nach dem Wechsel auf die Discourse-Seite technisch notwendige Cookies für Anmeldung und Sitzung verwenden.
• Kein Tracking, keine Analyse — Es werden keine Analytics-Dienste, keine Tracking-Pixel und keine Werbenetzwerke eingesetzt.
• Keine Werbe-IDs — Die App greift nicht auf Advertising-IDs zu.

4. Rechtsgrundlage

Die Verarbeitung der unter Punkt 2 genannten Daten erfolgt auf folgenden Rechtsgrundlagen:

Schweizerisches Datenschutzgesetz (DSG)

Als primär anwendbares Recht gilt das schweizerische Bundesgesetz über den Datenschutz (DSG, in Kraft seit 1. September 2023):

• Art. 31 Abs. 1 DSG (berechtigtes Interesse) — Die Verarbeitung technischer Verbindungsdaten und die anonyme Authentifizierung erfolgen im überwiegenden berechtigten Interesse, die App-Funktionalität bereitzustellen und die App vor Missbrauch zu schützen.

DSGVO (für Nutzer in der EU/dem EWR)

Für Nutzer in der Europäischen Union bzw. im Europäischen Wirtschaftsraum gilt zusätzlich die DSGVO:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Die technischen Verbindungsdaten sind zur Bereitstellung der App-Funktionalität erforderlich.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) — Die anonyme Authentifizierung dient dem berechtigten Interesse, die App vor Missbrauch zu schützen.

5. Zahlungsabwicklung (Abonnement)

Babyphone Timmy wird als kostenpflichtiges Abonnement über den Google Play Store bzw. Apple App Store angeboten. Die Zahlungsabwicklung erfolgt vollständig durch den jeweiligen App Store. Wir erhalten keine Zahlungsdaten (z. B. Kreditkartennummern, Bankverbindungen). Wir erhalten lediglich eine Bestätigung über den Abonnementstatus (aktiv/inaktiv), die keine personenbezogenen Zahlungsinformationen enthält.

Informationen zur Datenverarbeitung durch den jeweiligen App Store findest du hier:

• Google Play: policies.google.com/privacy
• Apple: apple.com/legal/privacy

6. Drittanbieter

Google Firebase

Anbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Dienste: Firebase Authentication (anonym), Cloud Firestore, Firebase Hosting.
Datenschutz: firebase.google.com/support/privacy
Drittlandtransfer: USA. Es gelten die Standardvertragsklauseln der EU-Kommission (Standard Contractual Clauses) sowie das Swiss-US Data Privacy Framework.

Cloudflare

Anbieter: Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA.
Dienst: TURN-Relay-Server (Cloudflare Calls) für die WebRTC-Verbindung.
Es wird ausschließlich verschlüsselter WebRTC-Datenverkehr weitergeleitet. Cloudflare hat keinen Zugriff auf die Inhalte der Kommunikation (Audio/Video).
Datenschutz: cloudflare.com/privacypolicy
Drittlandtransfer: USA. Es gelten die Standardvertragsklauseln der EU-Kommission sowie das Swiss-US Data Privacy Framework.

Discourse-Forum

Für Support-Fragen und Funktionswünsche verlinkt die Website auf ein extern gehostetes Discourse-Forum unter babyphone-timmy.discourse.group. Wenn du das Forum besuchst oder dort ein Konto erstellst, verarbeitet Discourse bzw. der jeweilige Forenhost unter anderem die für den Forenbetrieb erforderlichen Konto-, Beitrags-, Sitzungs- und Sicherheitsdaten. Die App selbst bleibt davon getrennt und verwendet weiterhin keine klassischen Nutzerkonten. Informationen zum Datenschutz bei Discourse findest du unter discourse.org/privacy.

7. Speicherdauer

• Sitzungsdaten (SDP, ICE-Kandidaten, Pairing-Codes): SDP- und ICE-Daten werden unmittelbar nach Verbindungsaufbau gelöscht. Anonymisierte und verschlüsselte Sitzungsmetadaten werden spätestens nach 24 Stunden vollständig gelöscht.
• Anonyme Auth-UIDs: Kurzlebig und verfallen automatisch. Sie enthalten keine personenbezogenen Informationen.

8. Deine Rechte

Nach schweizerischem DSG (Art. 25–29 DSG)

Du hast nach dem schweizerischen Datenschutzgesetz insbesondere folgende Rechte:

• Auskunftsrecht (Art. 25 DSG) — Du kannst Auskunft über die von dir verarbeiteten Daten verlangen.
• Recht auf Datenherausgabe und -übertragung (Art. 28 DSG) — Du kannst deine Daten in einem gängigen Format erhalten.
• Recht auf Berichtigung (Art. 32 Abs. 1 DSG) — Du kannst die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung — Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Aufsichtsbehörde (Schweiz): Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), www.edoeb.admin.ch

Nach DSGVO (für Nutzer in der EU/dem EWR)

Für Nutzer in der Europäischen Union bzw. im Europäischen Wirtschaftsraum gelten zusätzlich folgende Rechte:

• Auskunft (Art. 15 DSGVO) — Du kannst Auskunft über die von dir verarbeiteten Daten verlangen.
• Berichtigung (Art. 16 DSGVO) — Du kannst die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO) — Du kannst die Löschung deiner Daten verlangen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO) — Du kannst die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO) — Du kannst deine Daten in einem gängigen Format erhalten.
• Widerspruch (Art. 21 DSGVO) — Du kannst der Verarbeitung widersprechen.
• Beschwerde bei der Aufsichtsbehörde — Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde deines Landes zu beschweren.

9. Anwendbares Recht

Auf die Datenverarbeitung durch Babyphone Timmy findet das schweizerische Bundesgesetz über den Datenschutz (DSG) Anwendung. Für Nutzer in der Europäischen Union bzw. im Europäischen Wirtschaftsraum gilt zusätzlich die Datenschutz-Grundverordnung (DSGVO).

10. Hosting

Diese Website wird über Firebase Hosting von Google bereitgestellt. Die App selbst erhebt keine Server-Logs. Informationen zum Datenschutz bei Firebase Hosting findest du unter firebase.google.com/support/privacy.