Local Secret

Datenschutz

Stand: 29.05.2026

Deine Daten sind deine Daten. Wir sammeln nur was nötig ist, damit die App funktioniert. Verkauft werden sie nie. Sobald du dein Konto löschst, löschen wir alle personenbezogenen Daten.

1. Verantwortlicher

Marko Svitlica
Lerchenauerstraße 25, 80809 München
E-Mail: hello@localsecret.app

2. Welche Daten wir erheben

2.1 Bei der Anmeldung

Je nach gewählter Methode: E-Mail-Adresse (verpflichtend), verschlüsseltes Passwort, Apple-User-ID (bei "Sign in with Apple"), Google-User-ID (bei Google Sign-In), optional Name und Profilbild.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Standortdaten

GPS-Koordinaten werden ausschließlich während der aktiven App-Nutzung verarbeitet, um Secrets in deiner Nähe anzuzeigen, deine 100-m-Einlöse-Zone zu prüfen und relevante Flash Secrets zu übermitteln. Wir speichern keine historischen Standort-Verläufe. Die Koordinaten werden serverseitig nur im Zeitfenster der jeweiligen Anfrage verarbeitet und nicht dauerhaft gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + explizite Permission des Betriebssystems.

2.3 Push-Notifications

Dein Push-Token (FCM/APNs-Identifier) wird gespeichert, um dir Flash-Deals und Benachrichtigungen in deinen gewählten Kategorien zu senden. Du kannst Push jederzeit in den App-Settings deaktivieren.

2.4 Verhaltens-Daten in der App

Welche Secrets du entsperrst, welche Kategorien du bevorzugst, dein Streak, dein Redemption-Verlauf. Dient der Personalisierung und anonymisierten Plattform-Statistiken.

2.5 Technische Daten

IP-Adresse, Gerätetyp (iOS/Android), Betriebssystem-Version, App-Version, Zeitpunkt der Nutzung. Dient der Fehler-Diagnose, Sicherheit und Missbrauchs-Prävention.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

2.6 Zahlungsdaten (nur bei Insider-Abo oder als Partner)

Deine Kreditkarten- oder Bankdaten werden ausschließlich von Apple (IAP), Google Play, Stripe oder RevenueCat verarbeitet — wir speichern sie niemals. Wir erhalten nur anonymisierte Transaction-IDs.

3. Wofür wir die Daten nutzen

  • Secrets in deiner Nähe anzeigen
  • Flash-Push-Benachrichtigungen in gewählten Kategorien senden
  • Deinen Einlösungs-Verlauf persönlich speichern
  • Support und Kommunikation mit dir
  • Missbrauchs- und Fraud-Erkennung (z.B. manipulierte GPS-Einlösungen)
  • Anonymisierte Plattform-Statistiken für Partner-Lokale
  • Gesetzliche Aufbewahrungspflichten (z.B. 10 Jahre für Rechnungsdaten nach § 147 AO)

4. Daten-Weitergabe an Dritte

Wir geben Daten nur an Auftragsverarbeiter (Art. 28 DSGVO) weiter, mit denen AV-Verträge bestehen:

  • IONOS SE (Deutschland) — Web-Hosting und Datenbank-Server. Server-Standort: Deutschland.
  • Firebase / Google Ireland Ltd. — Push-Notification-Zustellung (FCM). Token-Routing über Google-Server, EU-Rechenzentrum.
  • Apple Inc. — Push-Zustellung an iOS (APNs via FCM), Sign-in with Apple.
  • Google Ireland Ltd. — Google Sign-In, Google Maps (Android).
  • RevenueCat Inc. (USA) — IAP-Abo-Verwaltung. Standard Contractual Clauses + DPA aktiv.
  • Stripe Payments Europe Ltd. (Irland) — Zahlungsabwicklung für Partner-Venues.
  • Postmark / Wildbit LLC (USA) — Transaktionale E-Mails. Standard Contractual Clauses aktiv.
  • Partner-Venues — Lokale sehen bei einer Einlösung nur dass "ein Gast" eingelöst hat. Keine persönlichen Daten.

Eine Übertragung in Drittländer (USA) erfolgt nur unter Standard-Vertragsklauseln der EU-Kommission. Wir verkaufen deine Daten niemals.

5. Speicherdauer

  • Account-Daten: bis zur Löschung durch dich (30 Tage Grace-Period, dann unwiderruflich anonymisiert)
  • Einlösungen: anonymisiert 3 Monate (Fraud-Detection), dann gelöscht
  • Rechnungs-/Zahlungsdaten: 10 Jahre (§ 147 AO)
  • Server-Logs (IP, Zeitstempel): max. 14 Tage
  • Audit-Logs (Admin-Aktionen): 7 Jahre (DSGVO Art. 30)

6. Deine Rechte

Nach DSGVO hast du jederzeit das Recht auf:

  • Auskunft über deine gespeicherten Daten (Art. 15)
  • Berichtigung falscher Daten (Art. 16)
  • Löschung ("Recht auf Vergessenwerden", Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21)
  • Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3)
  • Beschwerde bei der zuständigen Aufsichtsbehörde — in Bayern: BayLDA

Konto-Löschung direkt in der App: Einstellungen → Account → Account löschen.
Oder per E-Mail: hello@localsecret.app

7. Cookies auf der Website

Wir setzen ausschließlich technisch notwendige Session-Cookies für Login/Session-Management. Keine Tracking-Cookies, keine Analytics (kein Google Analytics, kein Facebook-Pixel), keine Werbe-Cookies.

8. Sicherheit

Passwörter werden mit bcrypt gehasht. Alle API-Verbindungen via TLS 1.3 verschlüsselt. Admin-Zugänge sind mit Zwei-Faktor-Authentifizierung (TOTP) geschützt. Datenbank-Backups werden täglich erstellt und verschlüsselt aufbewahrt.

9. Automatisierte Entscheidungen

Wir setzen keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO ein. Partner-Verifikation erfolgt manuell durch ein menschliches Admin-Review.

10. Minderjährige

Local Secret ist nicht für Nutzer unter 16 Jahren bestimmt. Wir erheben wissentlich keine Daten von Kindern unter 16. Sollten wir Kenntnis erhalten, dass ein Kind die App nutzt, werden dessen Daten gelöscht.

11. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Prozesse oder rechtliche Anforderungen ändern. Bei wesentlichen Änderungen informieren wir dich in der App.